Over de beveiligingsinhoud van watchOS 11.1
In dit artikel wordt de beveiligingsinhoud van watchOS 11.1 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
Over de beveiligingsinhoud van watchOS 11.1
Releasedatum: 28 oktober 2024
Accessibility
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een aanvaller met fysieke toegang tot een vergrendeld apparaat kan mogelijk vertrouwelijke gebruikersgegevens raadplegen
Beschrijving: het probleem is verholpen door verbeterde authenticatie.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App Support
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een kwaadwillige app kan mogelijk willekeurige sneltoetsen uitvoeren zonder de toestemming van de gebruiker
Beschrijving: een probleem met de verwerking van een pad is verholpen door verbeterde logica.
CVE-2024-44255: een anonieme onderzoeker
AppleAVD
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2024-44232: Ivan Fratric van Google Project Zero
CVE-2024-44233: Ivan Fratric van Google Project Zero
CVE-2024-44234: Ivan Fratric van Google Project Zero
Toegevoegd op 1 november 2024
CoreMedia Playback
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens
Beschrijving: dit probleem is verholpen door verbeterde verwerking van symlinks.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell of Loadshine Lab
CoreText
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-44240: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
CVE-2024-44302: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
Foundation
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het parseren van een bestand kan leiden tot het vrijgeven van gebruikersinformatie
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2024-44282: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative
ImageIO
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een afbeelding kan leiden tot openbaarmaking van procesgeheugen
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2024-44215: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative
ImageIO
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bericht kan leiden tot een denial-of-service
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
CVE-2024-44297: Jex Amro
IOSurface
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van corrupt kernelgeheugen
Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2024-44285: een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan gevoelige kernelstatus vrijgeven
Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Shortcuts
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een kwaadwillige app kan mogelijk toegang krijgen tot vertrouwelijke bestanden
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-44269: een anonieme onderzoeker
Siri
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde manier van onleesbaar maken van vertrouwelijke informatie.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: een app heeft mogelijk toegang tot vertrouwelijke gebruikersgegevens in systeemlogboeken
Beschrijving: een probleem met vrijgave van gegevens is verholpen door een verbeterde manier van onleesbaar maken van privégegevens voor logboekvermeldingen.
CVE-2024-44278: Kirin (@Pwnrin)
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan verhinderen dat de Content Security Policy wordt gehandhaafd
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Manager Cyber Security bij Suma Soft Pvt. Ltd, Pune (India)
WebKit
Beschikbaar voor: Apple Watch Series 6 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 279780
CVE-2024-44244: een anonieme onderzoeker, Q1IQ (@q1iqF) en P1umer (@p1umer)
Aanvullende erkenning
Calculator
Met dank aan Kenneth Chew voor de hulp.
Calendar
Met dank aan K宝(@Pwnrin) voor de hulp.
ImageIO
Met dank aan Amir Bazine and Karsten König van CrowdStrike Counter Adversary Operations, een anonieme onderzoeken voor de hulp.
Messages
Met dank aan Collin Potter, een anonieme onderzoeker, voor de hulp.
NetworkExtension
Met dank aan Patrick Wardle van DoubleYou & the Objective-See Foundation voor de hulp.
Photos
Met dank aan James Robertson voor de hulp.
Security
Met dank aan Bing Shi, Wenchao Li and Xiaolong Bai of Alibaba Group voor de hulp.
Siri
Met dank aan Bistrit Dahal voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.