Tietoja watchOS 10.4:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 10.4:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät versiot on listattu Applen suojauspäivitykset ‑sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 10.4

Accessibility

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallinen appi saattoi pystyä tarkastelemaan käyttäjätietoja käyttöapuilmoituksiin liittyvissä lokimerkinnöissä.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23291

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) ja Kirin (@Pwnrin)

CoreBluetooth – LE

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään Bluetooth-mikrofoneja ilman käyttäjän lupaa.

Kuvaus: käyttöongelma on ratkaistu lisäämällä käyttörajoituksia.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

file

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-48554

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23286: Trend Micron Zero Day Initiativen parissa työskentelevä Junsung Lee, Amir Bazine ja Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun), Lyutoon ja Mr.R

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-23235

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2024-23225

libxpc

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23278: nimetön tutkija

libxpc

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia eristyksestään käsin tai tietyillä laajennetuilla käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-0258: ali yabuz

MediaRemote

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haittaohjelma saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23297: scj643

Messages

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla tilapäisten tiedostojen käsittelyä.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan kernel-muistin suojaukset. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2024-23296

Sandbox

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)

Share Sheet

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-23231: Kirin (@Pwnrin) ja luckyu (@uuulucky)

Siri

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi päästä käyttämään yksityisiä kalenteritietoja Sirin avulla.

Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23289: Lewis Hardy

Siri

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-23293: Bistrit Dahal

UIKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-23246: Deutsche Telekom Security GmbH (sponsorina Bundesamt für Sicherheit in der Informationstechnik)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54658: anbu1024 (SecANT)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-23226: Pwn2car

CVE-2024-27859: Pwn2car

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa äänitietoja eri alkuperien kesken.

Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallinen verkkosivu saattoi pystyä tallentamaan käyttäjän sormenjäljen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla validointia.

CVE-2024-23280: nimetön tutkija

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2024-23284: Georg Felber ja Marco Squarcina

Kiitokset

CoreAnimation

Haluamme kiittää avusta Junsung Leetä.

CoreMotion

Haluamme kiittää avusta Eric Dorphya (Twin Cities App Dev LLC).

Find My

Haluamme kiittää avusta Meng Zhangia (鲸落, NorthSea).

Kernel

Haluamme kiittää avusta Tarek Joumaata (@tjkr0wn).

libxml2

Haluamme kiittää OSS-Fuzzia ja Ned Williamsonia (Google Project Zero) heidän avustaan.

libxpc

Haluamme kiittää avusta Rasmus Steniä (F-Secure, Mastodon: @pajp@blog.dll.nu) ja nimetöntä tutkijaa.

Messages

Haluamme kiittää avusta Petar Mataićia.

Power Management

Haluamme kiittää avusta Pan ZhenPengiä (@Peterpan0927, STAR Labs SG Pte. Ltd.).

Sandbox

Haluamme kiittää avusta Zhongquan Litä (@Guluisacat).

Siri

Haluamme kiittää avusta Bistrit Dahalia.

Software Update

Haluamme kiittää avusta Bin Zhangia (Dublin City University).

WebKit

Haluamme kiittää avusta Nan Wangia (@eternalsakura13, 360 Vulnerability Research Institute) sekä Valentino Dalla Vallea, Pedro Bernardoa, Marco Squarcinaa ja Lorenzo Veronesea (TU Wien).