Despre conținutul de securitate din watchOS 10.6
Acest document descrie conținutul de securitate din watchOS 10.6.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.
watchOS 10.6
Publicat pe 29 iulie 2024
AppleMobileFileIntegrity
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: o problemă de downgrade a fost rezolvată cu restricții suplimentare pentru semnarea codului.
CVE-2024-40774: Mickey Jin (@patch1t)
CoreGraphics
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40799: D4m0n
dyld
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.
CVE-2024-40815: w0wbox
Family Sharing
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: această problemă a fost rezolvată prin protecția îmbunătățită a datelor.
CVE-2024-40795: Csaba Fitzl (@theevilbit) din cadrul Kandji
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unei imagini poate duce la refuzul serviciului
Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.
CVE-2023-6277
CVE-2023-52356
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2024-40806: Yisumi
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-40777: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative, și Amir Bazine și Karsten König din cadrul CrowdStrike Counter Adversary Operations
ImageIO
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2024-40784: Junsung Lee, în colaborare cu Trend Micro Zero Day Initiative și Gandalf4a
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator local ar putea să determine aspectul memoriei kernel
Descriere: a fost remediată o problemă de divulgare de informații prin îmbunătățirea ascunderii datelor private pentru intrările în jurnal.
CVE-2024-27863: CertiK SkyFall Team
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator local ar putea cauza închiderea neașteptată a sistemului
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2024-40788: Minghao Lin și Jiaxun Zhu din cadrul Universității Zhejiang
libxpc
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.
CVE-2024-40805
Phone
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă legată de ecranul de blocare prin gestionarea îmbunătățită a stării.
CVE-2024-40813: Jacob Braun
Sandbox
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să ocolească preferințele de confidențialitate
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-40824: Wojciech Regula din cadrul SecuRing (wojciechregula.blog) și Zhongquan Li (@Guluisacat) din cadrul Dawn Security Lab din JingDong
Shortcuts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o scurtătură poate fi capabilă să utilizeze date sensibile cu anumite acțiuni fără a solicita utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40835: un cercetător anonim
CVE-2024-40836: un cercetător anonim
Shortcuts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-40809: un cercetător anonim
CVE-2024-40812: un cercetător anonim
Shortcuts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: O scurtătură ar putea ocoli cerințele privind permisiunile pentru Internet
Descriere: problema a fost remediată prin adăugarea unei solicitări suplimentare a acordului utilizatorului.
CVE-2024-40787: un cercetător anonim
Shortcuts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-40793: Kirin (@Pwnrin)
Siri
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu acces fizic poate folosi asistentul Siri pentru a accesa date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2024-40818: Bistrit Dahal și Srijan Poudel
Siri
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu acces fizic la un dispozitiv ar putea accesa contacte din ecranul de blocare
Descriere: această problemă a fost rezolvată prin restricționarea opțiunilor oferite pe un dispozitiv blocat.
CVE-2024-40822: Srijan Poudel
VoiceOver
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator ar putea vizualiza conținut restricționat din ecranul de blocare
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) din cadrul Lakshmi Narain College of Technology Bhopal, India
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
WebKit Bugzilla: 273176
CVE-2024-40776: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit Bugzilla: 268770
CVE-2024-40782: Maksymilian Motyl
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 275431
CVE-2024-40779: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit Bugzilla: 275273
CVE-2024-40780: Huang Xilin din cadrul Ant Group Light-Year Security Lab
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
WebKit Bugzilla: 273805
CVE-2024-40785: Johan Carlsson (joaxcar)
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2024-40789: Seunghyun Lee (@0x10n) din cadrul KAIST Hacking Lab, în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 276097
CVE-2024-44185: Gary Kwong
Intrare adăugată pe 15 octombrie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un utilizator ar putea să ocolească anumite restricții de conținut web
Descriere: a fost rezolvată o problemă privind gestionarea protocoalelor URL prin îmbunătățirea logicii.
WebKit Bugzilla: 280765
CVE-2024-44206: Andreas Jaegersberger și Ro Achterberg
Intrare adăugată pe 15 octombrie 2024
Alte mențiuni
Shortcuts
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.