Mengenai konten keamanan watchOS 11

Dokumen ini menjelaskan konten keamanan watchOS 11.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

watchOS 11

Accessibility

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Penyerang dengan akses fisik ke perangkat yang terkunci mungkin dapat menggunakan fitur Kontrol Perangkat di Sekitar melalui fitur aksesibilitas

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-44171: Jake Derouin

Game Center

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah akses file telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Masalah pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-27880: Junsung Lee

ImageIO

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Pemrosesan gambar mungkin mengakibatkan penolakan layanan

Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44176: dw0r dari ZeroPointer Lab yang bekerja sama dengan Zero Day Initiative dari Trend Micro, peneliti anonim

IOSurfaceAccelerator

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-44169: Antonio Zekić

Kernel

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App dapat memperoleh akses tidak sah ke Bluetooth

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze), dan Mathy Vanhoef

libxml2

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2024-44198: OSS-Fuzz, Ned Williamson dari Google Project Zero

mDNSResponder

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat menyebabkan penolakan layanan

Deskripsi: Kesalahan logika telah diatasi dengan penanganan kesalahan yang lebih baik.

CVE-2024-44183: Olivier Levon

Safari

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Konten web perusak yang berbahaya dapat melanggar kebijakan sandbox iframe

Deskripsi: Masalah penanganan skema URL khusus diatasi dengan peningkatan validasi input.

CVE-2024-44155: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan app berhenti tiba-tiba

Deskripsi: Kelebihan buffer telah diatasi dengan meningkatkan validasi ukuran.

CVE-2024-44144: 냥냥

Siri

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah privasi telah diatasi dengan memindahkan data sensitif ke lokasi yang lebih aman.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan skripting lintas situs universal

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-40857: Ron Masas

WebKit

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Situs web berbahaya dapat menarik data lintas sumber

Deskripsi: Masalah lintas sumber muncul pada elemen “iframe”. Masalah ini telah diatasi dengan peningkatan pelacakan sumber keamanan.

CVE-2024-44187: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

Ucapan terima kasih tambahan

Kernel

Kami ingin mengucapkan terima kasih kepada Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) dari PixiePoint Security atas bantuannya.

Maps

Kami ingin mengucapkan terima kasih kepada Kirin (@Pwnrin) atas bantuannya.

Shortcuts

Kami ingin mengucapkan terima kasih kepada Cristian Dinca dari “Tudor Vianu” National High School of Computer Science, Romania, Jacob Braun, peneliti anonim atas bantuannya.

Siri

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, peneliti anonim atas bantuannya.

Voice Memos

Kami ingin mengucapkan terima kasih kepada Lisa B atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Avi Lumelsky dari Oligo Security, Uri Katz dari Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) atas bantuannya.