Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 11.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 11.2.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες κυκλοφορίες παρατίθενται στη σελίδα κυκλοφοριών ασφάλειας της Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 11.2

APFS

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) και ένας ανώνυμος ερευνητής

AppleMobileFileIntegrity

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε απόρρητες πληροφορίες

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα χρήστη

Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2024-54513: ένας ανώνυμος ερευνητής

Face Gallery

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μπορεί να χρησιμοποιηθεί ένα δυαδικό σύστημα για να πάρει το δακτυλικό αποτύπωμα του λογαριασμού Apple ενός χρήστη

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την κατάργηση των σχετικών σημαιών.

CVE-2024-54512: Bistrit Dahal

FontParser

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54486: Hossein Lotfi (@hosselot) του προγράμματος Zero Day Initiative της Trend Micro

ICU

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Ένα πρόβλημα πρόσβασης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2024-54478: Gary Kwong

ImageIO

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use-after-free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2024-54499: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

ImageIO

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου ειδώλου μπορεί να οδηγήσει σε αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54500: Junsung Lee σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOMobileFrameBuffer

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να καταστρέψει τη μνήμη του συνεπεξεργαστή

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους ορίων.

CVE-2024-54517: Ye Zhang (@VAR10CK) της Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) της Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) της Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) της Baidu Security

Kernel

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54468: ανώνυμος ερευνητής

Kernel

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να δημιουργήσει αντιστοίχιση μνήμης μόνο για ανάγνωση, στην οποία μπορεί να γίνει εγγραφή

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2024-54494: sohybbyk

Kernel

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητη κατάσταση πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) της MIT CSAIL

libexpat

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.

CVE-2024-45490

libxpc

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54514: ένας ανώνυμος ερευνητής

libxpc

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η αυτόματη συμπλήρωση συνθηματικού μπορεί να συμπληρώσει συνθηματικά μετά από αποτυχημένο έλεγχο ταυτότητας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) από την C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

QuartzCore

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54497: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

Safari Private Browsing

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Ενδέχεται να είναι δυνατή η πρόσβαση σε καρτέλες Ιδιωτικής περιήγησης χωρίς έλεγχο ταυτότητας

Περιγραφή: Ένα πρόβλημα ελέγχου ταυτότητας αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54501: Michael DePlante (@izobashi) του προγράμματος Zero Day Initiative της Trend Micro

Vim

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Αυτή είναι μια ευπάθεια στον κώδικα ανοιχτού κώδικα και το λογισμικό Apple είναι ανάμεσα στα έργα που επηρεάζονται. Το CVE-ID εκχωρήθηκε από τρίτο μέρος. Μάθετε περισσότερα σχετικά με το πρόβλημα και το CVE-ID στο cve.org.

CVE-2024-45306

WebKit

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka του προγράμματος Google Project Zero

WebKit

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα διεργασίας

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-54508: linjy του HKUS3Lab και chluo του WHUSecLab, Xiangwei Zhang του Tencent Security YUNDING LAB

WebKit

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να έχει ως αποτέλεσμα την αλλοίωση μνήμης

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-54505: Gary Kwong

WebKit

Διατίθεται για: Apple Watch Series 6 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να έχει ως αποτέλεσμα την αλλοίωση μνήμης

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong και ένας ανώνυμος ερευνητής

Επιπλέον αναγνώριση

FaceTime

Θα θέλαμε να ευχαριστήσουμε τον χρήστη 椰椰 για τη βοήθειά του.

Proximity

Θα θέλαμε να ευχαριστήσουμε τον Junming C. (@Chapoly1305) και τον καθηγητή Qiang Zeng του George Mason University για τη βοήθειά τους.

Swift

Θα θέλαμε να ευχαριστήσουμε τον Marc Schoenefeld, Dr. rer. nat. για τη βοήθειά τους.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Hafiizh για τη βοήθειά του.