A watchOS 10.4 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 10.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 10.4

Kiadás dátuma: 2024. március 7.

Accessibility

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordulhatott, hogy rosszindulatú alkalmazások tudtak hozzáférni a kisegítő lehetőségekhez kötődő értesítések naplóbejegyzéseiben megtalálható felhasználói adatokhoz.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-23291

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-23288: Wojciech Regula (SecuRing, wojciechregula.blog) és Kirin (@Pwnrin)

CoreBluetooth – LE

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Alkalmazások hozzáférhettek a Bluetoothon csatlakoztatott mikrofonokhoz a felhasználó engedélye nélkül.

Leírás: Hatékonyabb hozzáférés-korlátozással hárítottunk el egy hozzáférési problémát.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

file

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A létrehozott fájlok szolgáltatásmegtagadást tudtak előidézni, illetve fel tudták fedni a memória tartalmát.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-48554

ImageIO

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A képek feldolgozásakor tetszőleges programkód végrehajtására nyílt lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2024-23286: Junsung Lee (Trend Micro Zero Day Initiative), Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun), Lyutoon és Mr.R

Bejegyzés frissítve: 2024. május 31.

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-23235

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2024-23225

libxpc

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-23278: anonim kutató

libxpc

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egy alkalmazás bizonyos esetekben tetszőleges kódot tudott végrehajtani a tesztkörnyezetén kívül vagy bizonyos magasabb jogosultsági szint mellett.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-0258: ali yabuz

MediaRemote

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-23297: scj643

Messages

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Az ideiglenes fájlok hatékonyabb kezelésével elhárítottunk egy adatvédelmi problémát.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A kernelolvasási és -írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a kernel memóriavédelmét. Az Apple tud egy olyan jelentésről, amely szerint előfordulhat, hogy ezt a problémát kihasználták.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2024-23296

Sandbox

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói információkat kiszivárogtatni

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2024-23290: Wojciech Regula (SecuRing, wojciechregula.blog)

Share Sheet

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatvédelemmel kapcsolatos problémát.

CVE-2024-23231: Kirin (@Pwnrin) és luckyu (@uuulucky)

Siri

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével le tudott kérni magánjellegű naptár-információkat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.

CVE-2024-23289: Lewis Hardy

Siri

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-23293: Bistrit Dahal

UIKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások adott esetben ki tudtak törni a sandboxból

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-23246: Deutsche Telekom Security GmbH, a Bundesamt für Sicherheit in der Informationstechnik szponzorálásával

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 259694

CVE-2024-23226: Pwn2car

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webhelyek ki tudtak szivárogtatni hangadatokat különböző forrásokból.

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

WebKit Bugzilla: 263795

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

WebKit Bugzilla: 264811

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt lemásolni a felhasználót

Leírás: Hatékonyabb ellenőrzéssel elhárult egy beszúrási probléma.

WebKit Bugzilla: 266703

CVE-2024-23280: anonim kutató

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

WebKit Bugzilla: 267241

CVE-2024-23284: Georg Felber és Marco Squarcina

További köszönetnyilvánítás

CoreAnimation

Köszönjük Junsung Lee segítségét.

CoreMotion

Köszönjük Eric Dorphy (Twin Cities App Dev LLC) segítségét.

Find My

Köszönjük Meng Zhang (鲸落, NorthSea) segítségét.

Kernel

Köszönjük Tarek Joumaa (@tjkr0wn) segítségét.

libxml2

Köszönjük OSS-Fuzz és Ned Williamson (Google Project Zero) segítségét.

libxpc

Köszönjük Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) és egy anonim kutató segítségét.

Power Management

Köszönjük Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte. Ltd.) segítségét.

Sandbox

Köszönjük Zhongquan Li (@Guluisacat) segítségét.

Siri

Köszönjük Bistrit Dahal segítségét.

Software Update

Köszönjük Bin Zhang (Dublin City University) segítségét.

WebKit

Köszönjük Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute), Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina és Lorenzo Veronese (TU Wien) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: