Zawartość związana z zabezpieczeniami w systemie watchOS 11.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 11.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Zawartość związana z zabezpieczeniami w systemie watchOS 11.1

Accessibility

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: osoba atakująca mająca fizyczny dostęp do zablokowanego urządzenia może być w stanie wyświetlić poufne informacje użytkownika.

Opis: ten błąd naprawiono przez ulepszenie uwierzytelniania.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa aplikacja może być w stanie uruchamiać dowolne skróty bez zgody użytkownika.

Opis: usunięto błąd w procedurze obsługi ścieżek przez poprawienie obsługi procesów logicznych.

CVE-2024-44255: anonimowy badacz

AppleAVD

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: analiza składni złośliwie spreparowanego pliku wideo może doprowadzić do nieoczekiwanego zamknięcia systemu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2024-44232: Ivan Fratric z Google Project Zero

CVE-2024-44233: Ivan Fratric z Google Project Zero

CVE-2024-44234: Ivan Fratric z Google Project Zero

CoreMedia Playback

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.

Opis: ten błąd naprawiono przez ulepszenie procedury obsługi łączy symbolicznych.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell z Loadshine Lab

CoreText

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44240: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2024-44302: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

Foundation

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: analiza składni pliku może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44282: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie obrazu może doprowadzić do ujawnienia pamięci procesowej.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2024-44215: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2024-44297: Jex Amro

IOSurface

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie pamięci jądra.

Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.

CVE-2024-44285: anonimowy badacz

Kernel

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.

Opis: rozwiązano problem z ujawnianiem informacji przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Shortcuts

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: złośliwa aplikacja może używać skrótów, aby uzyskać dostęp do plików objętych ograniczeniami.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-44269: anonimowy badacz

Siri

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie redagowania poufnych informacji.

CVE-2024-44194: Rodolphe BRUNETTI (@eisw0lf)

Siri

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: aplikacja w środowisku piaskownicy może być w stanie uzyskać dostęp do poufnych danych użytkownika w dziennikach systemu.

Opis: rozwiązano problem z ujawnianiem informacji przez poprawienie redagowania prywatnych danych we wpisach dziennika.

CVE-2024-44278: Kirin (@Pwnrin)

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-44296: Narendra Bhati, menedżer ds. cyberbezpieczeństwa w Suma Soft Pvt. Ltd, Pune (India).

WebKit

Dostępne dla: Apple Watch Series 6 i nowszy

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-44244: anonimowy badacz, Q1IQ (@q1iqF) i P1umer (@p1umer)

Dodatkowe podziękowania

Calculator

Dziękujemy za udzieloną pomoc: Kenneth Chew.

Calendar

Dziękujemy za udzieloną pomoc: K宝(@Pwnrin).

ImageIO

Dziękujemy za udzieloną pomoc: Amir Bazine i Karsten König z CrowdStrike Counter Adversary Operations, anonimowy badacz.

Messages

Dziękujemy za udzieloną pomoc: Collin Potter, anonimowy badacz.

NetworkExtension

Dziękujemy za udzieloną pomoc: Patrick Wardle z DoubleYou oraz Objective-See Foundation.

Photos

Dziękujemy za udzieloną pomoc: James Robertson.

Security

Dziękujemy za udzieloną pomoc: Bing Shi, Wenchao Li i Xiaolong Bai z Alibaba Group.

Siri

Dziękujemy za udzieloną pomoc: Bistrit Dahal.