watchOS 11.1のセキュリティコンテンツについて

watchOS 11.1のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

watchOS 11.1のセキュリティコンテンツについて

Accessibility

対象：Apple Watch Series 6以降

影響：ロックされているデバイスに物理的にアクセスできる攻撃者がユーザの機微情報を見ることができる。

説明：認証を強化することで、この問題に対処しました。

CVE-2024-44274：Rizki Maulana氏（rmrizki.my.id）、Matthew Butler氏、Jake Derouin氏

App Support

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたアプリがユーザの承諾なしに任意のショートカットを実行できる可能性がある。

説明：ロジックを改善することで、パスの処理における脆弱性に対処しました。

CVE-2024-44255：匿名の研究者

AppleAVD

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたビデオファイルを解析すると、予期せずシステムが終了する可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2024-44232：Google Project ZeroのIvan Fratric氏

CVE-2024-44233：Google Project ZeroのIvan Fratric氏

CVE-2024-44234：Google Project ZeroのIvan Fratric氏

CoreMedia Playback

対象：Apple Watch Series 6以降

影響：悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。

説明：シンボリックリンクの処理を改善することで、この問題に対処しました。

CVE-2024-44273：pattern-f氏（@pattern_F_）、Loadshine LabのHikerell氏

CoreText

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44240：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

CVE-2024-44302：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

Foundation

対象：Apple Watch Series 6以降

影響：ファイルを解析すると、ユーザ情報が漏洩する可能性がある。

説明：入力検証を強化することで、領域外読み込みに対処しました。

CVE-2024-44282：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

ImageIO

対象：Apple Watch Series 6以降

影響：画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-44215：Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

ImageIO

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたメッセージを処理すると、サービス運用妨害を受ける可能性がある。

説明：配列境界チェック機能を改善することで、この問題に対処しました。

CVE-2024-44297：Jex Amro氏

IOSurface

対象：Apple Watch Series 6以降

影響：アプリにシステムを突然終了されたり、カーネルメモリを破損されたりする可能性がある。

説明：メモリ管理を強化し、解放済みメモリ使用（use-after-free）の脆弱性に対処しました。

CVE-2024-44285：匿名の研究者

Kernel

対象：Apple Watch Series 6以降

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、情報漏洩の脆弱性に対処しました。

CVE-2024-44239：Mateusz Krzywicki氏（@krzywix）

Shortcuts

対象：Apple Watch Series 6以降

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44254：Kirin氏（@Pwnrin）

Shortcuts

対象：Apple Watch Series 6以降

影響：悪意のあるアプリによって、制限されたファイルにショートカットを使ってアクセスされる可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44269：匿名の研究者

Siri

対象：Apple Watch Series 6以降

影響：アプリがユーザの機微データにアクセスできる可能性がある。

説明：機微情報の墨消しを改善することで、この問題に対処しました。

CVE-2024-44194：Rodolphe Brunetti氏（@eisw0lf）

Siri

対象：Apple Watch Series 6以降

影響：サンドボックス化されたアプリがシステムログの機微なユーザデータにアクセスできる可能性がある。

説明：ログエントリに対するプライバシーデータの墨消しを改善することで、情報漏洩の脆弱性に対処しました。

CVE-2024-44278：Kirin氏（@Pwnrin）

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、コンテンツセキュリティポリシーの適用を回避される場合がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-44296：Suma Soft Pvt. Ltd.（インド、プネー）のNarendra Bhati氏（Manager of Cyber Security）

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：入力検証を強化し、メモリ破損の脆弱性に対処しました。

CVE-2024-44244：匿名の研究者、Q1IQ氏（@q1iqF）およびP1umer氏（@p1umer）

ご協力いただいたその他の方々

Calculator

Kenneth Chew氏のご協力に感謝いたします。

Calendar

K宝氏（@Pwnrin）のご協力に感謝いたします。

ImageIO

CrowdStrike Counter Adversary OperationsのAmir Bazine氏およびKarsten König氏、匿名の研究者のご協力に感謝いたします。

Messages

Collin Potter氏、匿名の研究者のご協力に感謝いたします。

NetworkExtension

DoubleYouおよびObjective-See FoundationのPatrick Wardle氏のご協力に感謝いたします。

Photos

James Robertson氏のご協力に感謝いたします。

Security

Alibaba GroupのBing Shi氏、Wenchao Li氏、Xiaolong Bai氏のご協力に感謝いたします。

Siri

Bistrit Dahal氏のご協力に感謝いたします。