Tietoja watchOS 11:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 11:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

watchOS 11

Accessibility

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä, joka pääsi käsiksi lukittuun laitteeseen, saattoi pystyä hallitsemaan lähellä olevia laitteita käyttöapuominaisuuksien kautta.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44171: Jake Derouin

Game Center

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tiedostojen käyttöön liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-27880: Junsung Lee

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-44176: dw0r ZeroPointer Labista yhteistyössä Trend Micron Zero Day Initiativen kanssa, nimetön tutkija

IOSurfaceAccelerator

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-44169: Antonio Zekić

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada Bluetoothin käyttöön luvattomasti.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ja Mathy Vanhoef

libxml2

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

mDNSResponder

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: logiikkavirhe on korjattu parantamalla virheiden käsittelyä.

CVE-2024-44183: Olivier Levon

Safari

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.

Kuvaus: Mukautetun URL-mallin käsittelyongelma korjattiin parantamalla annettujen tietojen vahvistusta.

CVE-2024-44155: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

SceneKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2024-44144: 냥냥

Siri

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tietosuojaongelma on ratkaistu siirtämällä arkaluontoiset tiedot entistä turvallisempaan sijaintiin.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40857: Ron Masas

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallinen verkkosivusto saattoi vuotaa tietoja eri alkuperien kesken.

Kuvaus: iFrame-elementeissä esiintyi eri alkuperiin liittyvä ongelma. Tämä on ratkaistu parantamalla suojauksen lähteiden seurantaa.

CVE-2024-44187: Narendra Bhati (Manager – Cyber Security, Suma Soft Pvt. Ltd, Pune, Intia)

Kiitokset

Kernel

Haluamme kiittää Braxton Andersonia ja Fakhri Zulkiflia (@d0lph1n98, PixiePoint Security) heidän antamastaan avusta.

Maps

Haluamme kiittää avusta Kiriniä (@Pwnrin).

Shortcuts

Haluamme kiittää Cristian Dincaa ("Tudor Vianu" National High School of Computer Science, Romania), Jacob Braunia ja nimetöntä tutkijaa heidän antamastaan avusta.

Siri

Haluamme kiittää Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia), Rohan Paudelia ja nimetöntä tutkijaa heidän antamastaan avusta.

Voice Memos

Haluamme kiittää Lisa B:tä hänen antamastaan avusta.

WebKit

Haluamme kiittää Avi Lumelskya (Oligo Security), Uri Katzia (Oligo Security), Eli Greytä (eligrey.com) ja Johan Carlssonia (joaxcar) heidän antamastaan avusta.