Zawartość związana z zabezpieczeniami w systemie watchOS 11.2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 11.2.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Wersje uaktualnień Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 11.2
Wydano 11 grudnia 2024 r.
APFS
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) i anonimowy badacz
Wpis dodano 27 stycznia 2025 r.
AppleMobileFileIntegrity
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd dotyczący uprawnień przez wprowadzenie dodatkowych ograniczeń.
CVE-2024-54513: anonimowy badacz
Face Gallery
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: systemowy plik binarny może zostać użyty do utworzenia odcisku palca konta Apple użytkownika.
Opis: Ten problem rozwiązano przez usunięcie odpowiednich flag.
CVE-2024-54512: Bistrit Dahal
Wpis dodano 27 stycznia 2025 r.
FontParser
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54486: Hossein Lotfi (@hosselot) w ramach programu Zero Day Initiative firmy Trend Micro
ICU
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: usunięto błąd dostępu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2024-54478: Gary Kwong
Wpis dodano 27 stycznia 2025 r.
ImageIO
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd dotyczący użycia pamięci po jej zwolnieniu przez poprawienie procedury obsługi pamięci.
CVE-2024-54499: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 27 stycznia 2025 r.
ImageIO
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54500: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro
IOMobileFrameBuffer
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie uszkodzić pamięć koprocesora.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2024-54517: Ye Zhang (@VAR10CK) z Baidu Security
CVE-2024-54518: Ye Zhang (@VAR10CK) z Baidu Security
CVE-2024-54522: Ye Zhang (@VAR10CK) z Baidu Security
CVE-2024-54523: Ye Zhang (@VAR10CK) z Baidu Security
Wpis dodano 27 stycznia 2025 r.
Kernel
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54468: anonimowy badacz
Wpis dodano 27 stycznia 2025 r.
Kernel
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: osoba atakująca może utworzyć mapowanie pamięci tylko do odczytu, do którego można zapisać dane.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2024-54494: sohybbyk
Kernel
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) z MIT CSAIL
libexpat
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: atakujący zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE na stronie cve.org.
CVE-2024-45490
libxpc
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54514: anonimowy badacz
libxpc
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
Passkeys
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: funkcja Wypełnianie haseł może wypełniać hasła po nieudanym uwierzytelnieniu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) z C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya
Wpis dodano 27 stycznia 2025 r.
QuartzCore
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie zawartości internetowej może doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54497: anonimowy użytkownik w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 27 stycznia 2025 r.
Safari Private Browsing
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: dostęp do kart przeglądania prywatnego można uzyskać bez uwierzytelnienia.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2024-54542: Rei (@reizydev), Kenneth Chew
Wpis dodano 27 stycznia 2025 r.
SceneKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-54501: Michael DePlante (@izobashi) w ramach programu Zero Day Initiative firmy Trend Micro
Vim
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanego pliku mogło doprowadzić do uszkodzenia sterty.
Opis: jest to luka w kodzie open source, a oprogramowanie Apple jest jednym z wielu dotkniętych problemem. Ten identyfikator CVE został przypisany przez podmiot zewnętrzny. Dowiedz się więcej o problemie i identyfikatorze CVE-ID na stronie cve.org.
CVE-2024-45306
Wpis dodano 27 stycznia 2025 r.
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka z Google Project Zero
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do nieoczekiwanej awarii procesu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy z HKUS3Lab and chluo z WHUSecLab, Xiangwei Zhang z Tencent Security YUNDING LAB
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Dostępne dla: Apple Watch Series 6 i nowszy
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do uszkodzenia zawartości pamięci.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong i anonimowy badacz
Wpis uaktualniono 27 stycznia 2025 r.
Dodatkowe podziękowania
FaceTime
Dziękujemy za udzieloną pomoc: 椰椰.
Proximity
Dziękujemy za udzieloną pomoc: Junming C. (@Chapoly1305) i Prof. Qiang Zeng z George Mason University.
Swift
Dziękujemy za udzieloną pomoc: Marc Schoenefeld, Dr. rer. nat.
WebKit
Dziękujemy za udzieloną pomoc: Hafiizh.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.