Om sikkerhedsindholdet i watchOS 10.6

Dette dokument beskriver sikkerhedsindholdet i watchOS 10.6.

Om Apple-sikkerhedsopdateringer

Af hensyn til vores kunders sikkerhed videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-ID.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 10.6

AppleMobileFileIntegrity

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et nedgraderingsproblem er løst ved yderligere kodesigneringsrestriktioner.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40799: D4m0n

dyld

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: En konkurrencetilstand er løst via yderligere validering.

CVE-2024-40815: w0wbox

Family Sharing

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Problemet er løst via forbedret databeskyttelse.

CVE-2024-40795: Csaba Fitzl (@theevilbit) fra Kandji

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et billede kan føre til DoS-angreb

Beskrivelse: Dette er en sårbarhed i open source-kode, og Apple-software er blandt de berørte projekter. CVE-id blev tildelt af en tredjepart. Få mere at vide om problemet og CVE-id på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-læseproblem blev løst ved forbedret inputvalidering.

CVE-2024-40806: Yisumi

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40777: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et skadeligt arkiv kan medføre uventet applukning

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2024-40784: Junsung Lee, der arbejder med Trend Micro Zero Day Initiative, og Gandalf4a

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En lokal hacker kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret bortredigering af private data for logposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

libxpc

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Et problem med tilladelser er løst ved yderligere begrænsninger.

CVE-2024-40805

Telefon

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Et problem med låseskærmen er løst via forbedret statusadministration.

CVE-2024-40813: Jacob Braun

Sandbox

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis omgå indstillingerne for fortrolighed

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-40824: Wojciech Regula fra SecuRing (wojciechregula.blog) og Zhongquan Li (@Guluisacat) fra Dawn Security Lab hos JingDong

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En genvej kan muligvis bruge følsomme data med visse handlinger uden at spørge brugeren

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40835: en anonym programmør

CVE-2024-40836: en anonym programmør

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Et logikproblem er løst via forbedret kontrol.

CVE-2024-40809: en anonym programmør

CVE-2024-40812: en anonym programmør

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Dette problem er løst ved at tilføje en yderligere prompt for brugerindhold.

CVE-2024-40787: en anonym programmør

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40818: Bistrit Dahal og Srijan Poudel

Siri

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med fysisk adgang til en enhed kan muligvis få adgang til kontakter fra låseskærmen

Beskrivelse: Problemet er løst ved at begrænse mulighederne på en låst enhed.

CVE-2024-40822: Srijan Poudel

VoiceOver

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker kan muligvis se begrænset indhold på låseskærmen

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology i Bhopal, Indien

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et use-after-free-problem er løst via forbedret hukommelseshåndtering.

CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Problemet er løst via forbedret kontrol.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.

CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab, der arbejder med Trend Micro Zero Day Initiative

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt indhold i webindhold kan føre til uventet nedbrud i processer

Beskrivelse: Problemet er løst via forbedrede kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En bruger kan muligvis omgå visse begrænsninger for webindhold

Beskrivelse: Et problem i forbindelse med håndtering af URL-protokoller er løst via forbedret logik.

CVE-2024-44206: Andreas Jaegersberger og Ro Achterberg

Yderligere anerkendelser

Shortcuts

Vi vil gerne takke en anonym programmør for hjælpen.