Om sikkerhetsinnholdet i watchOS 11,1

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 11,1.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Hvis du vil ha mer informasjon om sikkerhet, kan du gå til siden for Apple-produktsikkerhet.

Om sikkerhetsinnholdet i watchOS 11,1

Accessibility

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper med fysisk tilgang til en låst enhet kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst gjennom forbedret autentisering.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan være i stand til å kjøre vilkårlige snarveier uten brukerens samtykke

Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret logikk.

CVE-2024-44255: en anonym forsker

AppleAVD

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig videofil kan føre til uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44232: Ivan Fratric fra Google Project Zero

CVE-2024-44233: Ivan Fratric fra Google Project Zero

CVE-2024-44234: Ivan Fratric fra Google Project Zero

CoreMedia Playback

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av symlinks.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell fra Loadshine Lab

CoreText

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44240: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

Foundation

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en fil kan føre til at brukerinformasjon avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2024-44282: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av bilder kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44215: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig melding kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-44297: Jex Amro

IOSurface

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan forårsake uventet systemavslutning eller korrumpere kjerneminnet

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-44285: en anonym forsker

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Shortcuts

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan bruke snarveier for å få tilgang til begrensede filer

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44269: en anonym forsker

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et program kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom bedre sensurering av sensitive opplysninger.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En sandkasseapp kan få tilgang til sensitive brukerdata i systemlogger

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av nettinnhold med ondsinnet utforming kan forhindre håndheving av regler for innholdssikkerhet

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44296: Narendra Bhati, Leder for Cyber Security ved Suma Soft Pvt. Ltd, Pune (India)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2024-44244: En anonym forsker, Q1IQ (@q1iqF) og P1umer (@p1umer)

Ytterligere anerkjennelser

Calculator

Vi vil gjerne takke Kenneth Chew for hjelpen.

Calendar

Vi vil gjerne takke K宝(@Pwnrin) for hjelpen.

ImageIO

Vi vil gjerne takke Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, en anonym forsker for hjelpen.

Messages

Vi vil gjerne takke Collin Potter, en anonym forsker for hjelpen.

NetworkExtension

Vi vil gjerne takke Patrick Wardle fra DoubleYou og Objective-See Foundation for hjelpen.

Photos

Vi vil gjerne takke James Robertson for hjelpen.

Security

Vi vil gjerne takke Bing Shi, Wenchao Li og Xiaolong Bai fra Alibaba Group for hjelpen.

Siri

Vi vil gjerne takke Bistrit Dahal for hjelpen.