Over de beveiligingsinhoud van watchOS  11.2

In dit artikel wordt de beveiligingsinhoud van watchOS 11.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 11.2

Releasedatum: 11 december 2024

APFS

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) en een anonieme onderzoeker

Toegevoegd op 27 januari 2025

AppleMobileFileIntegrity

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een kwaadwillige app kan mogelijk toegang krijgen tot privégegevens

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een machtigingsprobleem is verholpen met aanvullende beperkingen.

CVE-2024-54513: een anonieme onderzoeker

Face Gallery

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een systeembinary kon worden gebruikt om een vingerafdruk te verkrijgen van de Apple Account van een gebruiker

Beschrijving: het probleem is verholpen door de relevante markeringen te verwijderen.

CVE-2024-54512: Bistrit Dahal

Toegevoegd op 27 januari 2025

FontParser

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54486: Hossein Lotfi (@hosselot) van Trend Micro Zero Day Initiative

ICU

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door verbeterde bereikcontrole.

CVE-2024-54478: Gary Kwong

Toegevoegd op 27 januari 2025

ImageIO

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door verbeterd geheugenbeheer.

CVE-2024-54499: een anonieme onderzoeker in samenwerking met het Trend Micro Zero Day Initiative

Toegevoegd op 27 januari 2025

ImageIO

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot openbaarmaking van procesgeheugen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54500: Junsung Lee in samenwerking met Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan mogelijk coprocessorgeheugen beschadigen

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

CVE-2024-54517: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) van Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) van Baidu Security

Toegevoegd op 27 januari 2025

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54468: een anonieme onderzoeker

Toegevoegd op 27 januari 2025

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een aanvaller kan mogelijk een alleen-lezen geheugentoewijzing maken waarnaar kan worden geschreven

Beschrijving: een race condition is verholpen door aanvullende validatie.

CVE-2024-54494: sohybbyk

Kernel

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan gevoelige kernelstatus vrijgeven

Beschrijving: een race condition is verholpen door verbeterde vergrendeling.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) van MIT CSAIL

libexpat

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van een app of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-45490

libxpc

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan buiten zijn sandbox komen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54514: een anonieme onderzoeker

libxpc

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: een app kan toegang krijgen tot verhoogde bevoegdheden

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: de automatische invoer van wachtwoorden kan wachtwoorden invullen na een mislukte identiteitscontrole

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) van C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

Toegevoegd op 27 januari 2025

QuartzCore

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot een denial-of-service

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54497: een anonieme onderzoeker in samenwerking met het Trend Micro Zero Day Initiative

Toegevoegd op 27 januari 2025

Safari Private Browsing

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: tabbladen voor de privémodus zijn mogelijk zonder identiteitscontrole toegankelijk

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Toegevoegd op 27 januari 2025

SceneKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot een denial of service

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-54501: Michael DePlante (@izobashi) van Trend Micro Zero Day Initiative

Vim

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging

Beschrijving: dit is een kwetsbaarheid in opensourcecode en Apple Software is een van de getroffen projecten. De CVE-ID. is toegewezen door derden. Ga voor meer informatie over dit probleem en CVE-ID naar cve.org.

CVE-2024-45306

Toegevoegd op 27 januari 2025

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka van Google Project Zero

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot een onverwachte procescrash

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy van HKUS3Lab en chluo van WHUSecLab, Xiangwei Zhang van Tencent Security YUNDING LAB

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: een type confusion-probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Beschikbaar voor: Apple Watch Series 6 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot geheugenbeschadiging

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong en een anonieme onderzoeker

Bijgewerkt op 27 januari 2025

Aanvullende erkenning

FaceTime

Met dank aan 椰椰 voor de hulp.

Proximity

Met dank aan Junming C. (@Chapoly1305) en Prof. Qiang Zeng van George Mason University voor de hulp.

Swift

Met dank aan Marc Schoenefeld, Dr. rer. nat. voor de hulp.

WebKit

Met dank aan Hafiizh voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: