Tietoja watchOS 11.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 11.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
watchOS 11.1
Julkaistu 28.10.2024
Accessibility
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: hyökkääjä, jolla oli fyysinen pääsy lukittuun laitteeseen, saattoi pystyä tarkastelemaan arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla todennusta.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App Support
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaisia oikoteitä ilman käyttäjän suostumusta.
Kuvaus: polun käsittelyongelma ratkaistiin parantamalla logiikkaa.
CVE-2024-44255: nimetön tutkija
AppleAVD
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa järjestelmän odottamattoman sulkeutumisen
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2024-44232: Ivan Fratric (Google Project Zero)
CVE-2024-44233: Ivan Fratric (Google Project Zero)
CVE-2024-44234: Ivan Fratric (Google Project Zero)
Kohta lisätty 1.11.2024
CoreMedia Playback
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla symbolisten linkkien käsittelyä.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell (Loadshine Lab)
CoreText
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-44240: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
CVE-2024-44302: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
Foundation
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: tiedoston jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-44282: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: kuvan käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-44215: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa
ImageIO
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
CVE-2024-44297: Jex Amro
IOSurface
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai vioittaa kernel-muistia.
Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2024-44285: nimetön tutkija
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Security
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: palvelunesto-ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2024-54538: Bing Shi, Wenchao Li ja Xiaolong Bai (Alibaba Group) ja Luyi Xing (Indianan yliopisto, Bloomington)
Kohta lisätty 19.12.2024
Shortcuts
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi päästä rajoitettuihin tiedostoihin oikoteiden avulla.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-44269: Kirin (@Pwnrin) ja nimetön tutkija
Kohta päivitetty 11.12.2024
Siri
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: eristetty appi saattaa kyetä käyttämään arkaluontoisia käyttäjätietoja järjestelmälokeissa.
Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.
CVE-2024-44278: Kirin (@Pwnrin)
Weather
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä määrittämään käyttäjän sijainnin.
Kuvaus: ongelma on ratkaistu parantamalla arkaluontoisten tietojen poistamista.
CVE-2024-44290: Kirin (@Pwnrin)
Kohta lisätty 11.12.2024
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Tiettyyn alkuperään kuuluvat evästeet saatettiin lähettää toiseen alkuperään.
Kuvaus: Evästeiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula (SecuRing, wojciechregula.blog)
Kohta lisätty 11.12.2024
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisesti laaditun verkkosisällön käsittely saattoi estää sisältöturvallisuuskäytännön täytäntöönpanon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati (kyberturvallisuusjohtaja, Suma Soft Pvt. Ltd, Pune, Intia)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 279780
CVE-2024-44244: nimetön tutkija, Q1IQ (@q1iqF) ja P1umer (@p1umer)
Kiitokset
Calculator
Haluamme kiittää Kenneth Chewiä hänen antamastaan avusta.
Calendar
Haluamme kiittää nimimerkkiä K宝 (@Pwnrin) hänen antamastaan avusta.
ImageIO
Haluamme kiittää Amir Bazinea ja Karsten Königiä (CrowdStrike Counter Adversary Operations) ja nimetöntä tutkijaa heidän antamastaan avusta.
Messages
Haluamme kiittää Collin Potteria ja nimetöntä tutkijaa heidän antamastaan avusta.
NetworkExtension
Haluamme kiittää Patrick Wardle (DoubleYou & the Objective-See Foundation) hänen antamastaan avusta.
Photos
Haluamme kiittää avusta James Robertsonia.
Siri
Haluamme kiittää avusta Bistrit Dahalia.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.