Tietoja watchOS 11.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 11.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

watchOS 11.2

APFS

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) ja nimetön tutkija

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallinen appi saattoi pystyä käyttämään yksityisiä tietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluonteisia käyttäjätietoja.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-54513: nimetön tutkija

Face Gallery

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: järjestelmän binääritiedostoa saatettiin pystyä käyttämään tunnistamaan käyttäjän Apple-tili

Kuvaus: tämä ongelma on ratkaistu poistamalla soveltuvat liput.

CVE-2024-54512: Bistrit Dahal

FontParser

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54486: Hossein Lotfi (@hosselot, Trend Micro Zero Day Initiative)

ICU

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-54478: Gary Kwong

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-54499: nimetön henkilö yhteistyössä Trend Micron Zero Day Initiativen kanssa

ImageIO

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54500: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen kanssa

IOMobileFrameBuffer

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä vioittamaan lisäprosessorin muistia.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2024-54517: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2024-54518: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2024-54522: Ye Zhang (@VAR10CK, Baidu Security)

CVE-2024-54523: Ye Zhang (@VAR10CK, Baidu Security)

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54468: nimetön tutkija

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: hyökkääjä saattoi pystyä luomaan kirjoitussuojatun muistikuvauksen, johon voitiin kirjoittaa.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-54494: sohybbyk

Kernel

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-54510: Joseph Ravichandran (@0xjprx, MIT CSAIL)

libexpat

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-45490

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54514: nimetön tutkija

libxpc

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

Passkeys

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: salasanan automaattinen täyttö saattoi täyttää salasanoja todennuksen epäonnistuttua.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia, C-DAC Thiruvananthapuram India), Rakeshkumar Talaviya

QuartzCore

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: verkkosisällön käsittely saattoi aiheuttaa palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54497: nimetön henkilö yhteistyössä Trend Micro Zero Day Initiativen kanssa

Safari Private Browsing

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: yksityisen selauksen välilehtiä voitiin käyttää ilman todennusta.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen tiedoston käsittely saattoi johtaa palvelunestoon.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54501: Michael DePlante (@izobashi, Trend Micron Zero Day Initiative)

Vim

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2024-45306

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka (Google Project Zero)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54508: linjy (HKUS3Lab) ja chluo (WHUSecLab), Xiangwei Zhang (Tencent Security YUNDING LAB)

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54505: Gary Kwong

WebKit

Saatavuus: Apple Watch Series 6 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin vioittumiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong ja nimetön tutkija

Kiitokset

FaceTime

Haluamme kiittää avusta 椰椰.

Proximity

Haluamme kiittää avusta Junming C.:tä (@Chapoly1305) ja professori Qiang Zengiä (George Mason University).

Swift

Haluamme kiittää nat. Marc Schoenefeldia heidän avustaan.

WebKit

Haluamme kiittää avusta Hafiizhia.