À propos des correctifs de sécurité de watchOS 11

Ce document décrit les correctifs de sécurité de watchOS 11.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.

Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

watchOS 11

Accessibility

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un attaquant bénéficiant d’un accès physique à un appareil verrouillé pourrait être en mesure de contrôler les appareils à proximité via des fonctionnalités d’accessibilité

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44171 : Jake Derouin

Game Center

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur.

Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.

CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)

ImageIO

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2024-27880 : Junsung Lee

ImageIO

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’une image peut entraîner un déni de service.

Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.

CVE-2024-44176 : dw0r de ZeroPointer Lab en collaboration avec le programme Zero Day Initiative de Trend Micro, un chercheur anonyme

IOSurfaceAccelerator

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut être en mesure de provoquer l’arrêt inopiné du système

Description : le problème a été résolu par une meilleure gestion de la mémoire.

CVE-2024-44169 : Antonio Zekić

Kernel

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une application est susceptible d’obtenir un accès non autorisé au Bluetooth.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef

libxml2

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.

Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.

CVE-2024-44198 : OSS-Fuzz, Ned Williamson de Google Project Zero

mDNSResponder

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app pourrait être en mesure de provoquer un déni de service.

Description : une erreur de logique a été résolue par une meilleure gestion des erreurs.

CVE-2024-44183 : Olivier Levon

Safari

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un contenu web malveillant peut enfreindre la politique de sandboxing des éléments iframe.

Description : un problème de gestion des schémas d’URL personnalisés a été résolu grâce à une meilleure validation des entrées.

CVE-2024-44155 : Narendra Bhati, responsable de la cybersécurité de Suma Soft Pvt. Ltd, à Pune (Inde)

SceneKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.

Description : un dépassement de la mémoire tampon a été résolu par une meilleure validation de la taille.

CVE-2024-44144 : 냥냥

Siri

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : une app peut accéder à des données sensibles de l’utilisateur.

Description : un problème de confidentialité a été résolu par le déplacement des données sensibles vers un emplacement plus sécurisé.

CVE-2024-44170 : K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : le traitement de contenu web malveillant peut provoquer une injection de code indirect universel.

Description : ce problème a été résolu par une meilleure gestion des états.

CVE-2024-40857 : Ron Masas

WebKit

Disponible pour : Apple Watch Series 6 et modèles ultérieurs

Conséquence : un site web malveillant peut extraire des données provenant d’origines multiples.

Description : un problème d’origines multiples existait au niveau des éléments « iframe ». Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.

CVE-2024-44187 : Narendra Bhati, responsable de la cybersécurité à Suma Soft Pvt. Ltd, à Pune (Inde)

Remerciements supplémentaires

Kernel

Nous tenons à remercier Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security pour leur aide.

Maps

Nous tenons à remercier Kirin (@Pwnrin) pour son aide.

Shortcuts

Nous tenons à remercier Cristian Dinca de l’école nationale d’informatique « Tudor Vianu » de Roumanie, Jacob Braun et un chercheur anonyme, pour son aide.

Siri

Nous tenons à remercier Abhay Kailasia (@abhay_kailasia) du Lakshmi Narain College of Technology Bhopal en Inde, Rohan Paudel et un chercheur anonyme pour leur aide.

Voice Memos

Nous tenons à remercier Lisa B pour son aide.

WebKit

Nous tenons à remercier Avi Lumelsky d’Oligo Security, Uri Katz d’Oligo Security, Eli Grey (eligrey.com) et Johan Carlsson (joaxcar) pour leur aide.