Sobre o conteúdo de segurança do watchOS 10.6
Este documento descreve o conteúdo de segurança do watchOS 10.6.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
watchOS 10.6
Lançado em 29 de julho de 2024
AppleMobileFileIntegrity
Disponível para: Apple Watch Series 4 e posterior
Impacto: um app pode ignorar as preferências de Privacidade
Descrição: um problema em downgrade foi resolvido por meio de restrições adicionais de assinatura de código.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40799: D4m0n
dyld
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor mal-intencionado com capacidade de leitura e gravação arbitrária pode ignorar a autenticação de ponteiro
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2024-40815: w0wbox
Family Sharing
Disponível para: Apple Watch Series 4 e posterior
Impacto: um app pode conseguir ler informações confidenciais de localização
Descrição: esse problema foi resolvido por meio de melhorias na proteção de dados.
CVE-2024-40795: Csaba Fitzl (@theevilbit) de Kandji
ImageIO
Disponível para: Apple Watch Series 4 e posterior
Impacto: o processamento de uma imagem pode levar a uma negação de serviço
Descrição: vulnerabilidade em código aberto e software Apple entre os projetos afetados. O CVE-ID foi atribuído por terceiros. Saiba mais sobre o problema e o CVE-ID em cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40806: Yisumi
ImageIO
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-40777: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro, Amir Bazine e Karsten König da CrowdStrike Counter Adversary Operations
ImageIO
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-40784: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro e Gandalf4a
Kernel
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor local pode definir o layout de memória do kernel
Descrição: um problema de divulgação de informações foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor local pode causar o desligamento inesperado do sistema
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2024-40788: Minghao Lin e Jiaxun Zhu da Zhejiang University
libxpc
Disponível para: Apple Watch Series 4 e posterior
Impacto: um app pode conseguir ignorar as preferências de Privacidade
Descrição: um problema em permissões foi resolvido por meio de restrições adicionais.
CVE-2024-40805
Phone
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário
Descrição: um problema na tela bloqueada foi resolvido por meio de melhorias no gerenciamento de estado.
CVE-2024-40813: Jacob Braun
Sandbox
Disponível para: Apple Watch Series 4 e posterior
Impacto: um app pode ignorar as preferências de Privacidade
Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2024-40824: Wojciech Regula da SecuRing (wojciechregula.blog) e Zhongquan Li (@Guluisacat) do Dawn Security Lab de JingDong
Shortcuts
Disponível para: Apple Watch Series 4 e posterior
Impacto: um atalho poderia ser capaz de usar dados confidenciais com determinadas ações sem fazer uma solicitação ao usuário
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-40835: pesquisador anônimo
CVE-2024-40836: pesquisador anônimo
Shortcuts
Disponível para: Apple Watch Series 4 e posterior
Impacto: um atalho pode ignorar os requisitos de permissão da Internet
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-40809: pesquisador anônimo
CVE-2024-40812: pesquisador anônimo
Shortcuts
Disponível para: Apple Watch Series 4 e posterior
Impacto: um atalho pode ignorar os requisitos de permissão da Internet
Descrição: o problema foi resolvido por meio da adição de uma solicitação adicional de consentimento do usuário.
CVE-2024-40787: pesquisador anônimo
Shortcuts
Disponível para: Apple Watch Series 4 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: o problema foi resolvido por meio da remoção do código vulnerável.
CVE-2024-40793: Kirin (@Pwnrin)
Siri
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor com acesso físico pode usar a Siri para acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2024-40818: Bistrit Dahal e Srijan Poudel
Siri
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor com acesso físico a um dispositivo pode conseguir acessar os contatos pela tela bloqueada
Descrição: esse problema foi resolvido por meio da restrição das opções oferecidas em um dispositivo bloqueado.
CVE-2024-40822: Srijan Poudel
VoiceOver
Disponível para: Apple Watch Series 4 e posterior
Impacto: um invasor pode conseguir visualizar conteúdo restrito pela tela bloqueada
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) da Faculdade de Tecnologia de Lakshmi Narain, em Bhopal, Índia
WebKit
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin do Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin do Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin do Ant Group Light-Year Security Lab
WebKit
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos podia resultar em um ataque de transmissão de script entre sites
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2024-40789: Seunghyun Lee (@0x10n) do KAIST Hacking Lab em parceria com a Zero Day Initiative da Trend Micro
WebKit
Disponível para: Apple Watch Series 4 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Entrada adicionada em 15 de outubro de 2024
WebKit
Disponível para: Apple Watch Series 4 e posterior
Impacto: um usuário pode conseguir evitar algumas limitações de conteúdo na web.
Descrição: um problema no gerenciamento dos protocolos de URL foi resolvido com melhorias na lógica.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger e Ro Achterberg
Entrada adicionada em 15 de outubro de 2024
Outros reconhecimentos
Shortcuts
Gostaríamos de agradecer a um pesquisador anônimo pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.