Tietoja watchOS 11.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 11.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.
Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.
watchOS 11.2
Julkaistu 11.12.2024
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.
Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.
CVE-2024-54513: nimetön tutkija
FontParser
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)
ImageIO
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54500: Junsung Lee yhteistyössä Trend Micro Zero Day Initiativen kanssa
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voi kirjoittaa.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2024-54494: sohybbyk
Kernel
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)
libexpat
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.
CVE-2024-45490
libxpc
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi pystyä poistumaan eristyksestään.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54514: nimetön tutkija
libxpc
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
SceneKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka (Google Project Zero)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy (HKUS3Lab) ja chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Saatavuus: Apple Watch Series 6 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
Kiitokset
FaceTime
Haluamme kiittää avusta 椰椰.
Proximity
Haluamme kiittää avusta Junming C:tä (@Chapoly1305) ja Prof. Qiang Zengiä (George Mason University).
Swift
Haluamme kiittää avusta Marc Schoenefeldiä, Dr. rer. nat. Marc Schoenefeldia heidän avustaan.
WebKit
Haluamme kiittää avusta Hafiizhia.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.