watchOS  11.2のセキュリティコンテンツについて

watchOS 11.2のセキュリティコンテンツについて説明します。

Appleセキュリティアップデートについて

Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。

Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-IDに言及しています。

セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。

watchOS 11.2

AppleMobileFileIntegrity

対象：Apple Watch Series 6以降

影響：悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54526：Mickey Jin氏（@patch1t）、Arsenii Kostromin氏（0x3c3e）

AppleMobileFileIntegrity

対象：Apple Watch Series 6以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：この問題は、チェックを強化することで解決されました。

CVE-2024-54527：Mickey Jin氏（@patch1t）

Crash Reporter

対象：Apple Watch Series 6以降

影響：アプリが機微なユーザデータにアクセスできる可能性がある。

説明：制限を強化し、アクセス権の問題に対処しました。

CVE-2024-54513：匿名の研究者

FontParser

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54486：Trend Micro Zero Day InitiativeのHossein Lotfi氏（@hosselot）

ImageIO

対象：Apple Watch Series 6以降

影響：悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54500：Trend Micro Zero Day Initiativeに協力するJunsung Lee氏

Kernel

対象：Apple Watch Series 6以降

影響：攻撃者が、読み取り専用のメモリマッピングを書き込み可能なものに改ざんできる可能性がある。

説明：検証を追加することで、競合状態に対処しました。

CVE-2024-54494：sohybbyk氏

Kernel

対象：Apple Watch Series 6以降

影響：アプリが重要なカーネル状態を漏洩させる可能性がある。

説明：ロック処理を強化することで、競合状態の脆弱性に対処しました。

CVE-2024-54510：MIT CSAILのJoseph Ravichandran氏（@0xjprx）

libexpat

対象：Apple Watch Series 6以降

影響：リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。

説明：これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。

CVE-2024-45490

libxpc

対象：Apple Watch Series 6以降

影響：アプリがサンドボックスを破って外部で実行される可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54514：匿名の研究者

libxpc

対象：Apple Watch Series 6以降

影響：アプリに昇格した権限を取得される可能性がある。

説明：チェックを強化し、ロジックの脆弱性に対処しました。

CVE-2024-44225：风沐云烟氏（@binary_fmyy）

SceneKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54501：Trend Micro Zero Day InitiativeのMichael DePlante氏（@izobashi）

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：チェックを強化することで、この問題に対処しました。

CVE-2024-54479：Seunghyun Lee氏

CVE-2024-54502：Google Project ZeroのBrendon Tiszka氏

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-54508：HKUS3Labのlinjy氏およびWHUSecLabのchluo氏、Tencent Security YUNDING LABのXiangwei Zhang氏

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明：メモリ処理を強化し、型の取り違え（type confusion）の脆弱性に対処しました。

CVE-2024-54505：Gary Kwong氏

WebKit

対象：Apple Watch Series 6以降

影響：悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。

説明：メモリ処理を改善することで、この問題に対処しました。

CVE-2024-54534：Tashita Software Security

ご協力いただいたその他の方々

FaceTime

椰椰 氏のご協力に感謝いたします。

Proximity

ジョージ・メイソン大学のJunming C.氏（@Chapoly1305）およびQiang Zeng教授のご協力に感謝いたします。

Swift

Marc Schoenefeld理学博士（Dr. rer. nat.）のご協力に感謝いたします。

WebKit

Hafiizh氏のご協力に感謝いたします。