Zawartość związana z zabezpieczeniami w systemie watchOS 11

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 11.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 11

Accessibility

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie poprzez funkcje dostępności użyć funkcji Sterowanie pobliskimi urządzeniami.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44171: Jake Derouin

Game Center

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: usunięto błąd dostępu do pliku przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-27880: Junsung Lee

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2024-44176: dw0r z ZeroPointer Lab w ramach programu Zero Day Initiative firmy Trend Micro, anonimowy badacz

IOSurfaceAccelerator

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-44169: Antonio Zekić

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może uzyskać nieautoryzowany dostęp do Bluetooth.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) i Mathy Vanhoef

libxml2

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

mDNSResponder

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd logiczny przez poprawienie obsługi błędów.

CVE-2024-44183: Olivier Levon

Safari

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwie spreparowana zawartość www może naruszać zasady piaskownicy iframe.

Opis: rozwiązano problem z obsługą własnego schematu adresu URL przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44155: Narendra Bhati, Manager z Cyber Security at Suma Soft Pvt. Ltd, Pune (India).

SceneKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może spowodować nieoczekiwane zamknięcie aplikacji.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury sprawdzania poprawności rozmiaru.

CVE-2024-44144: 냥냥

Siri

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: rozwiązano problem z prywatnością przez przeniesienie poufnych danych do bezpieczniejszej lokalizacji.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może spowodować atak UXSS (universal cross site scripting).

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-40857: Ron Masas

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwie spreparowana witryna internetowa może przesyłać dane między różnymi źródłami.

Opis: z elementami iframe występował błąd obsługi różnych źródeł. Ten błąd rozwiązano przez poprawienie mechanizmu śledzenia źródeł informacji dotyczących zabezpieczeń.

CVE-2024-44187: Narendra Bhati, Manager z Cyber Security at Suma Soft Pvt. Ltd, Pune (India).

Dodatkowe podziękowania

Kernel

Dziękujemy za udzieloną pomoc: Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

Maps

Dziękujemy za udzieloną pomoc: Kirin (@Pwnrin).

Shortcuts

Dziękujemy za udzieloną pomoc: Cristian Dinca z "Tudor Vianu" National High School z Computer Science, Romania, Jacob Braun, anonimowy badacz.

Siri

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, anonimowy badacz.

Voice Memos

Dziękujemy za udzieloną pomoc: Lisa B.

WebKit

Dziękujemy za udzieloną pomoc: Avi Lumelsky z Oligo Security, Uri Katz z Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar).