A watchOS 11.1 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 11.1 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
A watchOS 11.1 biztonsági változásjegyzéke
Kiadási dátum: 2024. október 28.
Accessibility
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit
Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App Support
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások a felhasználó engedélye nélkül futtathattak tetszőleges billentyűparancsokat
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.
CVE-2024-44255: anonim kutató
AppleAVD
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor váratlan rendszerleállásra került sor.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2024-44232: Ivan Fratric (Google Project Zero)
CVE-2024-44233: Ivan Fratric (Google Project Zero)
CVE-2024-44234: Ivan Fratric (Google Project Zero)
Bejegyzés hozzáadva: 2024. november 1.
CoreMedia Playback
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.
Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab
CoreText
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-44240: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative
Foundation
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-44282: Hossein Lotfi (@hosselot),Trend Micro Zero Day Initiative
ImageIO
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2024-44215: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)
ImageIO
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
CVE-2024-44297: Jex Amro
IOSurface
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.
CVE-2024-44285: anonim kutató
Kernel
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Shortcuts
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy rosszindulatú alkalmazások billentyűparancsok használatával korlátozott hozzáférésű fájlokhoz tudtak hozzáférni
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-44269: anonim kutató
Siri
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Az elkülönített alkalmazások képesek lehetnek bizalmas felhasználói adatokhoz hozzáférni a rendszernaplókban
Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.
CVE-2024-44278: Kirin (@Pwnrin)
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 279780
CVE-2024-44244: egy anonim kutató, Q1IQ (@q1iqF) and P1umer (@p1umer)
További köszönetnyilvánítás
Calculator
Köszönjük Kenneth Chew segítségét.
Calendar
Köszönjük K宝(@Pwnrin) segítségét.
ImageIO
Köszönjük Amir Bazine, Karsten König (CrowdStrike Counter Adversary Operations) és egy anonim kutató segítségét.
Messages
Köszönjük Collin Potter és egy anonim kutató segítségét.
NetworkExtension
Köszönjük Patrick Wardle (DoubleYou & the Objective-See Foundation) segítségét.
Photos
Köszönjük James Robertson segítségét.
Security
Köszönjük Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group) segítségét.
Siri
Köszönjük Bistrit Dahal segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.