Informacije o sigurnosnom sadržaju sustava watchOS 11,1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 11.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Najnovija izdanja navedena su na stranici Appleova sigurnosna izdanja.

Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID kad god je to moguće.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

Informacije o sigurnosnom sadržaju sustava watchOS 11.1

Accessibility

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: napadač s fizičkim pristupom zaključanom uređaju mogao bi vidjeti povjerljive korisničke podatke

Opis: taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna aplikacija mogla bi pokretati proizvoljno odabrane prečace bez pristanka korisnika

Opis: problem s obradom putova riješen je poboljšanom logikom.

CVE-2024-44255: anonimni istraživač

AppleAVD

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: parsanje zlonamjernih video datoteka može dovesti do neočekivanog zatvaranja sustava

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim rukovanjem simboličkim vezama.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell iz laboratorija Loadshine Lab

CoreText

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44240: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

CVE-2024-44302: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

Foundation

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: parsiranjem zlonamjerne datoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44282: Hossein Lotfi (@hosselot) iz inicijative Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom slike može doći do otkrivanja procesne memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-44215: Junsung Lee i inicijativa Zero Day (Trend Micro)

ImageIO

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2024-44297: Jex Amro

IOSurface

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: neka bi aplikacija mogla izazvati neočekivano zatvaranje sustava ili oštećenje kernelske memorije

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-44285: anonimni istraživač

Kernel

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Shortcuts

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: zlonamjerna aplikacija može upotrebljavati prečace za pristup ograničenim datotekama

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-44269: anonimni istraživač

Siri

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima

Opis: ovaj je problem riješen poboljšanim redigiranjem osjetljivih informacija.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: aplikacija u memoriji za testiranje mogla bi pristupiti osjetljivim korisničkim podacima u zapisnicima sustava

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-44296: Narendra Bhati, voditelj odjela kibernetičke sigurnosti (Suma Soft Pvt.) Ltd, Pune, Indija)

WebKit

Dostupno za: Apple Watch Series 6 uređaje i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-44244: anonimni istraživač, Q1IQ (@q1iqF) i P1umer (@p1umer)

Dodatna zahvala

Calculator

Na pomoći zahvaljujemo Kennethu Chewu.

Calendar

Na pomoći zahvaljujemo korisniku K宝 (@Pwnrin).

ImageIO

Na pomoći zahvaljujemo Amiru Bazineu i Karstenu Königu (CrowdStrike Counter Adversary Operations) i anonimnom istraživaču.

Messages

Na pomoći zahvaljujemo Collinu Potteru i anonimnom istraživaču.

NetworkExtension

Na pomoći zahvaljujemo Patricku Wardleu (DoubleYou) i organizaciji Objective-See Foundation.

Foto

Na pomoći zahvaljujemo Jamesu Robertsonu.

Security

Na pomoći zahvaljujemo Bingu Shiju, Wenchaou Liju i Xiaolongu Baiju (Alibaba Group).

Siri

Na pomoći zahvaljujemo Bistritu Dahalu.