Om sikkerhetsinnholdet i watchOS 11

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 11.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

watchOS 11

Accessibility

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper med fysisk tilgang til en låst enhet kan kontrollere nærliggende enheter via tilgjengelighetsfunksjoner

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44171: Jake Derouin

Game Center

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et filtilgangsproblem ble løst gjennom forbedret validering av inndata.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27880: Junsung Lee

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-44176: dw0r fra ZeroPointer Lab arbeider med Trend Micro Zero Day Initiative, en anonym forsker

IOSurfaceAccelerator

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44169: Antonio Zekić

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få uautorisert tilgang til Bluetooth

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

libxml2

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero

mDNSResponder

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan være i stand til å forårsake tjenestenekt

Beskrivelse: En logikkfeil ble løst gjennom forbedret feilhåndtering.

CVE-2024-44183: Olivier Levon

Safari

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Skadelig nettinnhold kan være i strid med sandkasseretningslinjene for iFrame

Beskrivelse: Et problem med håndtering av egendefinert URL-oppsett ble løst med forbedret inndatavalidering.

CVE-2024-44155: Narendra Bhati, leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2024-44144: 냥냥

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et personvernproblem ble løst ved å flytte sensitive opplysninger til et sikrere sted.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40857: Ron Masas

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.

CVE-2024-44187: Narendra Bhati, leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

Ytterligere anerkjennelser

Kernel

Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.

Maps

Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.

Shortcuts

Vi vil gjerne takke Cristian Dinca of «Tudor Vianu» National High School of Computer Science i Romania, Jacob Braun, en anonym forsker.

Siri

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) ved Lakshmi Narain College of Technology Bhopal India, Rohan Paudel og en anonym forsker for hjelpen.

Voice Memos

Vi vil gjerne takke Lisa B for hjelpen.

WebKit

Vi vil gjerne takke Avi Lumelsky fra Oligo Security, Uri Katz fra Oligo Security, Eli Grey (eligrey.com) og Johan Carlsson (joaxcar) for hjelpen.