A watchOS 10.6 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 10.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 10.6

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További kódaláírási korlátozásokkal elhárítottunk egy alacsonyabb szintre váltással kapcsolatos hibát.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-40799: D4m0n

dyld

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-40815: w0wbox

Family Sharing

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.

CVE-2024-40795: Fitzl Csaba (@theevilbit, Kandji)

ImageIO

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Ez egy nyílt forrású kódban található sebezhetőség, és az Apple-szoftver is az érintett projektek között van. A CVE-azonosítót egy külső fél rendelte hozzá. A problémával és a CVE-azonosítóval kapcsolatos további információkért látogasson el a cve.org webhelyre.

CVE-2023-6277

CVE-2023-52356

ImageIO

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-40806: Yisumi

ImageIO

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-40777: Junsung Lee (Trend Micro Zero Day Initiative), valamint Amir Bazine és Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2024-40784: Junsung Lee (Trend Micro Zero Day Initiative) és Gandalf4a

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A helyi támadó meg tudta határozni a kernelmemória felépítését.

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-27863: CertiK SkyFall Team

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A helyi támadók váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2024-40788: Minghao Lin és Jiaxun Zhu (Zhejiang University)

libxpc

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: További korlátozásokkal elhárítottunk egy engedélyekkel kapcsolatos hibát.

CVE-2024-40805

Phone

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy zárolt képernyővel kapcsolatos hibát.

CVE-2024-40813: Jacob Braun

Sandbox

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-40824: Wojciech Regula (SecuRing (wojciechregula.blog) és Zhongquan Li (@Guluisacat, Dawn Security Lab – JingDong)

Shortcuts

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Bizonyos esetekben a parancsok bizonyos műveletek során bizalmas adatokat tudtak felhasználni anélkül, hogy erről megkérdezték volna a felhasználót

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-40835: anonim kutató

CVE-2024-40836: anonim kutató

Shortcuts

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egy billentyűparanccsal megkerülhetők voltak az internetes engedélyezési követelmények.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-40809: anonim kutató

CVE-2024-40812: anonim kutató

Shortcuts

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egy billentyűparanccsal megkerülhetők voltak az internetes engedélyezési követelmények.

Leírás: A problémát a felhasználói hozzájárulást kérő kiegészítő kérdés bevezetésével orvosoltuk.

CVE-2024-40787: anonim kutató

Shortcuts

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Hatás: Egy fizikai hozzáféréssel rendelkező támadó a Siri segítségével hozzáférhet bizalmas felhasználói adatokhoz

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-40818: Bistrit Dahal és Srijan Poudel

Siri

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező támadók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2024-40822: Srijan Poudel

VoiceOver

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A támadók bizonyos esetekben a zárolt képernyőn is meg tudták tekinteni a korlátozott tartalmakat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab, Trend Micro Zero Day Initiative)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44185: Gary Kwong

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A felhasználók bizonyos esetekben megkerülhettek egyes webes tartalomkorlátozásokat.

Leírás: Továbbfejlesztett logikával elhárítottuk az URL-protokollok kezelésével kapcsolatos problémát.

CVE-2024-44206: Andreas Jaegersberger és Ro Achterberg

További köszönetnyilvánítás

Shortcuts

Köszönjük egy anonim kutató segítségét.