Mengenai konten keamanan watchOS 11.1

Dokumen ini menjelaskan konten keamanan watchOS 11.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

Mengenai konten keamanan watchOS 11.1

Dirilis pada 28 Oktober 2024

Accessibility

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna

Deskripsi: Masalah telah diatasi dengan autentikasi yang ditingkatkan.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App yang berbahaya mungkin dapat menjalankan pintasan arbitrer tanpa persetujuan pengguna

Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.

CVE-2024-44255: peneliti anonim

AppleAVD

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Menguraikan file video perusak yang berbahaya dapat mengakibatkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44232: Ivan Fratric dari Google Project Zero

CVE-2024-44233: Ivan Fratric dari Google Project Zero

CVE-2024-44234: Ivan Fratric dari Google Project Zero

Entri ditambahkan pada 1 November 2024

CoreMedia Playback

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App yang berbahaya mungkin dapat mengakses informasi pribadi

Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell dari Loadshine Lab

CoreText

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44240: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

Foundation

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2024-44282: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44215: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-44297: Jex Amro

IOSurface

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2024-44285: peneliti anonim

Kernel

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App dapat membocorkan status kernel yang bersifat rahasia

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Shortcuts

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App yang berbahaya dapat menggunakan pintasan untuk mengakses file yang dibatasi

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-44269: peneliti anonim

Siri

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna di log sistem

Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

WebKit Bugzilla: 278765

CVE-2024-44296: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)

WebKit

Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

WebKit Bugzilla: 279780

CVE-2024-44244: peneliti anonim, Q1IQ (@q1iqF), dan P1umer (@p1umer)

Ucapan terima kasih tambahan

Calculator

Kami ingin mengucapkan terima kasih kepada Kenneth Chew atas bantuannya.

Calendar

Kami ingin mengucapkan terima kasih kepada K宝(@Pwnrin) atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, peneliti anonim atas bantuannya.

Messages

Kami ingin mengucapkan terima kasih kepada Collin Potter, peneliti anonim atas bantuannya.

NetworkExtension

Kami ingin mengucapkan terima kasih kepada Patrick Wardle dari DoubleYou & the Objective-See Foundation atas bantuannya.

Photos

Kami ingin mengucapkan terima kasih kepada James Robertson atas bantuannya.

Security

Kami ingin mengucapkan terima kasih kepada Bing Shi, Wenchao Li dan Xiaolong Bai dari Alibaba Group atas bantuannya.

Siri

Kami ingin mengucapkan terima kasih kepada Bistrit Dahal atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: