Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 10.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 10.4.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα ασφάλειας της Apple αναφέρουν τις ευπάθειες κατά CVE-ID όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 10,4

Κυκλοφόρησε στις 7 Μαρτίου 2024

Accessibility

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να έχει τη δυνατότητα να δει δεδομένα χρήστη σε εγγραφές του αρχείου καταγραφής που σχετίζονται με ειδοποιήσεις προσβασιμότητας

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-23291

AppleMobileFileIntegrity

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-23288: Wojciech Regula της SecuRing (wojciechregula.blog) και Kirin (@Pwnrin)

CoreBluetooth - LE

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να έχε πρόσβαση σε μικρόφωνα συνδεδεμένα μέσω Bluetooth χωρίς την άδεια του χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2024-23250: Guilherme Rambo της Best Buddy Apps (rambo.codes)

file

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός αρχείου μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2022-48554

ImageIO

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-23286: Junsung Lee σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) και Lyutoon και Mr.R

Η καταχώριση ενημερώθηκε στις 31 Μαΐου 2024

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2024-23235

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να πραγματοποιήσει εγγραφή στη μνήμη πυρήνα

Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2024-23265: Xinru Chi του Pangu Lab

Kernel

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τις προστασίες μνήμης του πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2024-23225

libxpc

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-23278: ανώνυμος ερευνητής

libxpc

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα από το προστατευμένο περιβάλλον της ή με ορισμένα αυξημένα προνόμια

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-0258: ali yabuz

MediaRemote

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-23297: scj643

Messages

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένο χειρισμό προσωρινών αρχείων.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής του πυρήνα ενδέχεται να μπορεί να παρακάμψει τις προστασίες μνήμης του πυρήνα. Η Apple είναι ενήμερη για την ύπαρξη μιας αναφοράς ότι αυτό το πρόβλημα μπορεί να έχει γίνει αντικείμενο εκμετάλλευσης.

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2024-23296

Sandbox

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2024-23290: Wojciech Regula της SecuRing (wojciechregula.blog)

Share Sheet

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα ζήτημα απορρήτου αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.

CVE-2024-23231: Kirin (@Pwnrin) και luckyu (@uuulucky)

Siri

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να χρησιμοποιήσει το Siri για πρόσβαση σε ιδιωτικές πληροφορίες ημερολογίων

Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2024-23289: Lewis Hardy

Siri

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-23293: Bistrit Dahal

UIKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2024-23246: Deutsche Telekom Security GmbH με την υποστήριξη του Bundesamt für Sicherheit in der Informationstechnik

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα ήχου μεταξύ προελεύσεων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη ιστοσελίδα ενδέχεται να μπορεί να δημιουργήσει μια μοναδική αναπαράσταση του χρήστη

Περιγραφή: Ένα πρόβλημα εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

WebKit Bugzilla: 266703

CVE-2024-23280: ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber και Marco Squarcina

Επιπλέον αναγνώριση

CoreAnimation

Θα θέλαμε να ευχαριστήσουμε τον Junsung Lee για τη βοήθειά του.

CoreMotion

Θα θέλαμε να ευχαριστήσουμε τον Eric Dorphy της Twin Cities App Dev LLC για τη βοήθειά του.

Find My

Θα θέλαμε να ευχαριστήσουμε τον Meng Zhang (鲸落) της NorthSea για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τον Tarek Joumaa (@tjkr0wn) για τη βοήθειά του.

libxml2

Θα θέλαμε να ευχαριστήσουμε τους OSS-Fuzz και Ned Williamson του Google Project Zero για τη βοήθειά τους.

libxpc

Θα θέλαμε να ευχαριστήσουμε τον Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) και έναν ανώνυμο ερευνητή για τη βοήθειά τους.

Power Management

Θα θέλαμε να ευχαριστήσουμε τον Pan ZhenPeng (@Peterpan0927) της STAR Labs SG Pte. Ltd. για τη βοήθειά του.

Sandbox

Θα θέλαμε να ευχαριστήσουμε τον Zhongquan Li (@Guluisacat) για τη βοήθειά του.

Siri

Θα θέλαμε να ευχαριστήσουμε τον Bistrit Dahal για τη βοήθειά του.

Software Update

Θα θέλαμε να ευχαριστήσουμε τον Bin Zhang του Dublin City University για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Nan Wang (@eternalsakura13) του 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina και Lorenzo Veronese του TU Wien για τη βοήθειά τους.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: