A watchOS 11

Ez a dokumentum a watchOS 11 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 11

Accessibility

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egy zárolt iOS-készülékhez fizikailag hozzáférő támadó vezérelni tudta a közeli eszközöket a kisegítő lehetőségek segítségével.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44171: Jake Derouin

Game Center

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-27880: Junsung Lee

ImageIO

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató

IOSurfaceAccelerator

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-44169: Antonio Zekić

Kernel

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetoothhoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef

libxml2

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.

CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)

mDNSResponder

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.

CVE-2024-44183: Olivier Levon

Safari

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak sértették az iframe-ek sandboxban való futtatására vonatkozó szabályzatot.

Leírás: Leírás: Hatékonyabb bevitelellenőrzéssel elhárítottak egy egyedi URL-sémakezelési hibát.

CVE-2024-44155: Narendra Bhati (menedzser, Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

SceneKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2024-44144: 냥냥

Siri

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-40857: Ron Masas

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.

CVE-2024-44187: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

További köszönetnyilvánítás

Kernel

Szeretnénk megköszönni Braxton Anderson, Fakhri Zulkifli (@d0lph1n98, PixiePoint Security) segítségét.

Maps

Köszönjük Kirin (@Pwnrin) segítségét.

Shortcuts

Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Jacob Braun és egy anonim kutató segítségét.

Siri

Szeretnénk megköszönni Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College Of Technology, Bhopál, India), Rohan Paudel és egy anonim kutató segítségét.

Voice Memos

Szeretnénk megköszönni Lisa B segítségét.

WebKit

Szeretnénk megköszönni Avi Lumelsky (Oligo Security), Uri Katz (Oligo Security), Eli Grey (eligrey.com), Johan Carlsson (joaxcar) segítségét.