A watchOS 11.1 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 11.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági változásjegyzékével foglalkozó oldalon található.

Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 11.1

Accessibility

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: A zárolt készülékhez fizikai hozzáféréssel rendelkező támadók meg tudták tekinteni a felhasználó bizalmas információit

Leírás: Hatékonyabb hitelesítéssel küszöböltük ki a problémát.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások a felhasználó engedélye nélkül futtathattak tetszőleges billentyűparancsokat

Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy útvonalkezelési hibát.

CVE-2024-44255: anonim kutató

AppleAVD

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor váratlan rendszerleállásra került sor.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44232: Ivan Fratric (Google Project Zero)

CVE-2024-44233: Ivan Fratric (Google Project Zero)

CVE-2024-44234: Ivan Fratric (Google Project Zero)

CoreMedia Playback

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy a rosszindulatú alkalmazások privát adatokhoz tudtak hozzáférni.

Leírás: A szimbolikus hivatkozások hatékonyabb kezelésével hárítottuk el a problémát.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab

CoreText

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44240: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

Foundation

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: A fájlok elemzése a felhasználói adatok felfedéséhez vezetett.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2024-44282: Hossein Lotfi (@hosselot), Trend Micro Zero Day Initiative

ImageIO

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egy kép feldolgozása lehetőséget adott folyamatmemória közzétételére.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2024-44215: Junsung Lee (a Trend Micro Zero Day Initiative közreműködőjeként)

ImageIO

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

CVE-2024-44297: Jex Amro

IOSurface

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve sérültté tudták tenni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy kétszeres felszabadítást előidéző hibát.

CVE-2024-44285: anonim kutató

Kernel

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Security

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2024-54538: Bing Shi, Wenchao Li és Xiaolong Bai (Alibaba Group), Luyi Xing (Indiana University Bloomington)

Shortcuts

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy rosszindulatú alkalmazások billentyűparancsok használatával korlátozott hozzáférésű fájlokhoz tudtak hozzáférni

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-44269: Kirin (@Pwnrin) és egy anonim kutató

Siri

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az elkülönített alkalmazások képesek lehetnek bizalmas felhasználói adatokhoz hozzáférni a rendszernaplókban

Leírás: A naplóbejegyzéseknél alkalmazott adatvédelmi redakció fejlesztésével megoldottuk az adatszivárgással kapcsolatos problémát.

CVE-2024-44278: Kirin (@Pwnrin)

Weather

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Bizonyos alkalmazások meg tudták határozni a felhasználók aktuális tartózkodási helyét

Leírás: A bizalmas információk hatékonyabb kivonatolásával megoldottuk a problémát.

CVE-2024-44290: Kirin (@Pwnrin)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az egyik eredethez tartozó sütiket át lehetett küldeni egy másik eredethez.

Leírás: Hatékonyabb állapotkezeléssel hárítottunk el egy sütikezelési problémát.

CVE-2024-44212: Wojciech Regula (SecuRing, wojciechregula.blog)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-44296: Narendra Bhati, Manager (Cyber Security, Suma Soft Pvt. Ltd., Púna, India)

WebKit

A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2024-44244: egy anonim kutató, Q1IQ (@q1iqF) and P1umer (@p1umer)

További köszönetnyilvánítás

Calculator

Köszönjük Kenneth Chew segítségét.

Calendar

Köszönjük K宝(@Pwnrin) segítségét.

ImageIO

Köszönjük Amir Bazine, Karsten König (CrowdStrike Counter Adversary Operations) és egy anonim kutató segítségét.

Messages

Köszönjük Collin Potter és egy anonim kutató segítségét.

NetworkExtension

Köszönjük Patrick Wardle (DoubleYou és az Objective-See Alapítvány) segítségét.

Photos

Köszönjük James Robertson segítségét.

Siri

Köszönjük Bistrit Dahal segítségét.