Sobre o conteúdo de segurança do watchOS 11.1
Este documento descreve o conteúdo de segurança do watchOS 11.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.
Sobre o conteúdo de segurança do watchOS 11.1
Lançamento: 28 de outubro de 2024
Accessibility
Disponível para: Apple Watch Series 6 e posterior
Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ver informações de contato privadas
Descrição: o problema foi resolvido por meio de melhorias no processo de autenticação.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App Support
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app mal-intencionado pode executar atalhos arbitrários sem o consentimento do usuário
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na lógica.
CVE-2024-44255: pesquisador anônimo
AppleAVD
Disponível para: Apple Watch Series 6 e posterior
Impacto: analisar um arquivo de vídeo criado com códigos maliciosos pode levar ao encerramento inesperado do sistema
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2024-44232: Ivan Fratric do Google Project Zero
CVE-2024-44233: Ivan Fratric do Google Project Zero
CVE-2024-44234: Ivan Fratric do Google Project Zero
Entrada adicionada em 1 de novembro de 2024
CoreMedia Playback
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app mal-intencionado pode ter acesso a informações privadas
Descrição: esse problema foi resolvido por meio de melhorias no processamento de links simbólicos.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell do Loadshine Lab
CoreText
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44240: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
CVE-2024-44302: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
Foundation
Disponível para: Apple Watch Series 6 e posterior
Impacto: a análise de um arquivo pode causar a divulgação de informações do usuário
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2024-44282: Hossein Lotfi (@hosselot) da Zero Day Initiative da Trend Micro
ImageIO
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar uma imagem pode resultar na divulgação da memória de processamento
Descrição: esse problema foi resolvido por meio de melhorias nas verificações.
CVE-2024-44215: Junsung Lee em parceria com a Zero Day Initiative da Trend Micro
ImageIO
Disponível para: Apple Watch Series 6 e posterior
Impacto: o processamento de uma mensagem de criada de maneira mal-intencionada pode levar a uma negação de serviço
Descrição: o problema foi resolvido por meio de melhorias nas verificações de limites.
CVE-2024-44297: Jex Amro
IOSurface
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode causar o encerramento inesperado do sistema ou corromper a memória do kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2024-44285: pesquisador anônimo
Kernel
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode causar vazamento de estados confidenciais do kernel
Descrição: um problema de divulgação de informações foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Shortcuts
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app mal-intencionado pode usar atalhos para acessar arquivos restritos
Descrição: um problema na lógica foi resolvido por meio de melhorias nas verificações.
CVE-2024-44269: pesquisador anônimo
Siri
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app pode conseguir acessar dados confidenciais do usuário
Descrição: esse problema foi resolvido por meio de melhorias na redação de informações confidenciais.
CVE-2024-44194: Rodolphe BRUNETTI (@eisw0lf)
Siri
Disponível para: Apple Watch Series 6 e posterior
Impacto: um app em sandbox pode ter acesso a dados confidenciais de usuários nos registros do sistema.
Descrição: um problema de divulgação de informações foi resolvido com a redação aprimorada de dados privados para entradas de registro.
CVE-2024-44278: Kirin (@Pwnrin)
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: o processamento de conteúdo da Web criado com códigos maliciosos pode impedir a aplicação da Política de Segurança de Conteúdo
Descrição: o problema foi resolvido por meio de melhorias nas verificações.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, gerente da Cyber Security na Suma Soft Pvt. Ltd, Pune (Índia)
WebKit
Disponível para: Apple Watch Series 6 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
WebKit Bugzilla: 279780
CVE-2024-44244: pesquisador anônimo, Q1IQ (@q1iqF) e P1umer (@p1umer)
Outros reconhecimentos
Calculator
Gostaríamos de agradecer a Kenneth Chew pela ajuda.
Calendar
Gostaríamos de agradecer a K宝(@Pwnrin) pela ajuda.
ImageIO
Gostaríamos de agradecer a Amir Bazine e Karsten König, da CrowdStrike Counter Adversary Operations, e um pesquisador anônimo pela ajuda.
Messages
Gostaríamos de agradecer a Collin Potter e um pesquisador anônimo pela ajuda.
NetworkExtension
Gostaríamos de agradecer a Patrick Wardle, da DoubleYou & da Objective-See Foundation, pela ajuda.
Photos
Gostaríamos de agradecer a James Robertson pela ajuda.
Security
Gostaríamos de agradecer a Bing Shi, Wenchao Li e Xiaolong Bai do Alibaba Group pela ajuda.
Siri
Gostaríamos de agradecer a Bistrit Dahal pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.