Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 10.6
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 10.6.
Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες κυκλοφορίες παρατίθενται στη σελίδα κυκλοφοριών ασφάλειας της Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
watchOS 10.6
Κυκλοφόρησε στις 29 Ιουλίου 2024
AppleMobileFileIntegrity
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα υποβάθμισης αντιμετωπίστηκε με πρόσθετους περιορισμούς υπογραφής κώδικα.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-40799: D4m0n
dyld
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.
CVE-2024-40815: w0wbox
Family Sharing
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να έχει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη προστασία δεδομένων.
CVE-2024-40795: Csaba Fitzl (@theevilbit) της Kandji
ImageIO
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός ειδώλου μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2024-40806: Yisumi
ImageIO
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2024-40777: Junsung Lee σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Amir Bazine και Karsten König της CrowdStrike Counter Adversary Operations
ImageIO
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής
Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2024-40784: Junsung Lee σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro και Gandalf4a
Kernel
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα ζήτημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη έκδοση απόρρητων δεδομένων για τις εγγραφές του αρχείου καταγραφής.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό του συστήματος
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2024-40788: Minghao Lin και Jiaxun Zhu από το Zhejiang University
libxpc
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2024-40805
Phone
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Ένα πρόβλημα σχετικό με την οθόνη κλειδώματος αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2024-40813: Jacob Braun
Sandbox
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις Απορρήτου
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2024-40824: Wojciech Regula της SecuRing (wojciechregula.blog) και Zhongquan Li (@Guluisacat) από το Dawn Security Lab της JingDong
Shortcuts
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς προτροπή προς τον χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40835: ένας ανώνυμος ερευνητής
CVE-2024-40836: ένας ανώνυμος ερευνητής
Shortcuts
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει τις απαιτήσεις άδειας του διαδικτύου
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40809: ένας ανώνυμος ερευνητής
CVE-2024-40812: ένας ανώνυμος ερευνητής
Shortcuts
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια συντόμευση ενδέχεται να μπορεί να παρακάμψει τις απαιτήσεις άδειας του διαδικτύου
Περιγραφή: Αυτό το ζήτημα αντιμετωπίστηκε με την προσθήκη μιας πρόσθετης προτροπής για συναίνεση χρήστη.
CVE-2024-40787: ένας ανώνυμος ερευνητής
Shortcuts
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2024-40793: Kirin (@Pwnrin)
Siri
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση ενδέχεται να μπορέσει να χρησιμοποιήσει το Siri για να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε μια κλειδωμένη συσκευή.
CVE-2024-40818: Bistrit Dahal και Srijan Poudel
Siri
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας με φυσική πρόσβαση σε μια συσκευή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε επαφές από την οθόνη κλειδώματος
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με τον περιορισμό των επιλογών που διατίθενται σε μια κλειδωμένη συσκευή.
CVE-2024-40822: Srijan Poudel
VoiceOver
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να προβάλει περιορισμένο περιεχόμενο από την οθόνη κλειδώματος
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) του Lakshmi Narain College of Technology Bhopal India
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin του Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin του Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin του Ant Group Light-Year Security Lab
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας
Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2024-40789: Seunghyun Lee (@0x10n) του KAIST Hacking Lab σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Η καταχώριση προστέθηκε στις 15 Οκτωβρίου 2024
WebKit
Διατίθεται για: Apple Watch Series 4 και νεότερα μοντέλα
Αποτέλεσμα: Ένας χρήστης ενδέχεται να μπορεί να παρακάμψει κάποιους περιορισμούς περιεχομένου ιστού
Περιγραφή: Ένα πρόβλημα στον χειρισμό πρωτοκόλλων URL αντιμετωπίστηκε με βελτιωμένη λογική.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger και Ro Achterberg
Η καταχώριση προστέθηκε στις 15 Οκτωβρίου 2024
Επιπλέον αναγνώριση
Shortcuts
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.