Over de beveiligingsinhoud van watchOS 11
In dit document wordt de beveiligingsinhoud van watchOS 11 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 11
Releasedatum: 16 september 2024
Accessibility
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk apparaten in de buurt bedienen via toegankelijkheidsfuncties
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44171: Jake Derouin
Game Center
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een probleem met bestandstoegang is verholpen door verbeterde invoervalidatie.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-27880: Junsung Lee
ImageIO
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een afbeelding kan leiden tot een denial-of-service
Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.
CVE-2024-44176: dw0r van ZeroPointer Lab in samenwerking met Trend Micro Zero Day Initiative en een anonieme onderzoeker
IOSurfaceAccelerator
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-44169: Antonio Zekić
Kernel
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan ongeoorloofde toegang verkrijgen tot Bluetooth
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) en Mathy Vanhoef
libxml2
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2024-44198: OSS-Fuzz, en Ned Williamson van Google Project Zero
mDNSResponder
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan mogelijk een denial-of-service veroorzaken
Beschrijving: een logicaprobleem is verholpen door verbeterde foutverwerking.
CVE-2024-44183: Olivier Levon
Safari
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: kwaadwillig vervaardigd webmateriaal kan het iframe sandbox-beleid schenden
Beschrijving: een probleem met de verwerking van een aangepast URL-schema is verholpen door verbeterde invoervalidatie.
CVE-2024-44155: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Toegevoegd op 28 oktober 2024
SceneKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van de app
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2024-44144: 냥냥
Toegevoegd op 28 oktober 2024
Siri
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een privacyprobleem is verholpen door gevoelige gegevens naar een veiligere locatie te verplaatsen.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), en Rodolphe BRUNETTI (@eisw0lf)
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot universele cross-site-scripting
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een kwaadaardige website kan gegevens 'cross-origin' exfiltreren
Beschrijving: er was een cross-origin-probleem met iframe-elementen. Dit is verholpen door een verbeterde tracking van beveiligingsbronnen.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
Aanvullende erkenning
Kernel
Met dank aan Braxton Anderson, en Fakhri Zulkifli (@d0lph1n98) van PixiePoint Security voor de hulp.
Maps
Met dank aan Kirin (@Pwnrin) voor de hulp.
Shortcuts
Met dank aan Cristian Dinca van 'Tudor Vianu' National High School of Computer Science, Romania, Jacob Braun en een anonieme onderzoeker voor de hulp.
Siri
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College of Technology Bhopal India, Rohan Paudel en een anonieme onderzoeker voor de hulp.
Bijgewerkt op 28 oktober 2024
Voice Memos
Met dank aan Lisa B voor de hulp.
WebKit
Met dank aan Avi Lumelsky van Oligo Security, Uri Katz van Oligo Security, Eli Grey (eligrey.com) en Johan Carlsson (joaxcar) voor de hulp.
Bijgewerkt op 28 oktober 2024
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.