À propos des correctifs de sécurité de watchOS 10.3

Ce document décrit le contenu de sécurité de watchOS 10.3.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’abstient de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou des mises à jour ne sont pas offerts. Les mises à jour récentes sont répertoriées sur la page Versions de sécurité d’Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

watchOS 10.3

Apple Neural Engine

Disponible pour les appareils dotés d’Apple Neural Engine : Apple Watch Series 9 et Apple Watch Ultra 2

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-23212 : Ye Zhang de Baidu Security

CoreCrypto

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : un attaquant peut être en mesure de déchiffrer les cryptogrammes RSA PKCS#1 v1.5 sans disposer de la clé privée

Description : un problème de canal latéral de synchronisation a été résolu grâce à des améliorations apportées au calcul en temps constant dans les fonctions cryptographiques.

CVE-2024-23218 : Clemens Lang

Kernel

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau.

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-23208 : fmyy(@binary_fmyy) et lime de TIANGONG Team of Legendsec du QI-ANXIN Group

libxpc

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être à l’origine d’un déni de service.

Description : un problème d’autorisations a été résolu grâce à des restrictions supplémentaires.

CVE-2024-23201 : Koh M. Nakagawa de FFRI Security, Inc. Et un chercheur anonyme

Mail Search

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2024-23207 : Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab) et Ian de Marcellus

NSSpellChecker

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu avec une meilleure gestion des fichiers.

CVE-2024-23223 : Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab)

Safari

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : l’activité de navigation privée d’un utilisateur peut être visible dans Réglages

Description : un problème de confidentialité a été résolu grâce à une meilleure gestion des préférences de l’utilisateur.

CVE-2024-23211 : Mark Bowers

Shortcuts

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : un raccourci peut être en mesure d’utiliser des données sensibles avec certaines actions sans demander à l’utilisateur

Description : le problème a été résolu par des vérifications d’autorisations supplémentaires.

CVE-2024-23204 : Jubaer Alnazi (@h33tjubaer)

Shortcuts

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure de contourner certaines préférences de confidentialité.

Description : un problème de confidentialité a été résolu avec une meilleure gestion des dossiers temporaires.

CVE-2024-23217 : Kirin (@Pwnrin)

TCC

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une app peut être en mesure d’accéder aux données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu avec une meilleure gestion des dossiers temporaires.

CVE-2024-23215 : Zhongquan Li (@Guluisacat)

Time Zone

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une application peut être en mesure de voir le numéro de téléphone d’un utilisateur dans les journaux du système

Description : ce problème a été résolu par une amélioration de la rédaction des renseignements confidentiels.

CVE-2024-23210 : Noah Roskin-Frazee et le professeur J. (ZeroClicks.ai Lab)

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : une page web malicieusement conçue peut permettre de prendre l’empreinte de l’utilisateur

Description : un problème d’accès a été résolu par une amélioration des restrictions d’accès.

CVE-2024-23206 : un chercheur anonyme

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : le traitement du contenu web peut entraîner l’exécution de code arbitraire

Description : ce problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-23213 : Wangtaiyu de Zhongfu info

WebKit

Disponible pour : Apple Watch Series 4 et modèles ultérieurs

Conséquence : un site web malveillant peut causer un comportement inattendu d’origines multiples.

Description : un problème de logique a été résolu par de meilleures vérifications.

CVE-2024-23271 : James Lee (@Windowsrcer)

Remerciements supplémentaires

NetworkExtension

Nous tenons à remercier Nils Rollshausen pour son aide.