Informacije o sigurnosnom sadržaju sustava watchOS 11
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 11.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.
Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 11
Objavljeno 16. rujna 2024.
Accessibility
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: napadači s fizičkim pristupom zaključanom uređaju mogli su putem značajki pristupačnosti upravljati obližnjim uređajima
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44171: Jake Derouin
Game Center
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem s pristupom datoteci riješen je poboljšanom provjerom valjanosti ulaznih podataka
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27880: Junsung Lee
ImageIO
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2024-44176: dw0r (ZeroPointer Lab) i inicijativa Zero Day (Trend Micro), anonimni istraživač
IOSurfaceAccelerator
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-44169: Antonio Zekić
Kernel
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: aplikacija može steći neovlašten pristup Bluetoothu
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef
libxml2
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: aplikacija bi mogla uzrokovati odbijanje usluge
Opis: logička pogreška riješena je poboljšanim rukovanjem pogreškama.
CVE-2024-44183: Olivier Levon
Safari
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: zlonamjerni web-sadržaj može kršiti pravila testiranja za iframe
Opis: problem rukovanja prilagođenom URL shemom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-44155: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)
Unos je dodan 28. listopada 2024.
SceneKit
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: obrada zlonamjerne datoteke može dovesti do neočekivanog zatvaranja aplikacije
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2024-44144: 냥냥
Unos je dodan 28. listopada 2024.
Siri
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima
Opis: problem privatnosti riješen je premještanjem osjetljivih podataka na sigurniju lokaciju.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Dostupno za: Apple Watch Series 6 uređaje i novije
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: u „iframe” elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)
Dodatna zahvala
Kernel
Na pomoći zahvaljujemo Braxtonu Andersonu i Fakhriju Zulkifliju (@d0lph1n98) (PixiePoint Security).
Maps
Zahvaljujemo Kirinu (@Pwnrin) na pomoći.
Shortcuts
Na pomoći zahvaljujemo Cristianu Dinci (Nacionalna srednja škola za računalnu znanost „Tudor Vianu”, Rumunjska) te Jacobu Braunu, anonimnom istraživaču.
Siri
Na pomoći zahvaljujemo Abhayu Kailasiaju (@abhay_kailasia) (Lakshmi Narain College of Technology Bhopal India), Rohanu Paudelu i anonimnom istraživaču.
Unos je ažuriran 28. listopada 2024.
Voice Memos
Na pomoći se zahvaljujemo Lisi B.
WebKit
Na pomoći zahvaljujemo Aviju Lumelskyju (Oligo Security), Uriju Katzu (Oligo Security), Eliju Greyu (eligrey.com), Johanu Carlssonu (joaxcar).
Unos je ažuriran 28. listopada 2024.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.