Despre conținutul de securitate din watchOS 11

Acest document descrie conținutul de securitate din watchOS 11.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

watchOS 11

Accessibility

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator cu acces fizic la un dispozitiv blocat ar putea utiliza Control dispozitive din apropiere prin intermediul funcțiilor de accesibilitate

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44171: Jake Derouin

Game Center

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: o problemă de acces la fișiere a fost remediată prin îmbunătățirea validării intrării.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2024-27880: Junsung Lee

ImageIO

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unei imagini poate duce la refuzul serviciului

Descriere: a fost rezolvată o problemă de acces în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2024-44176: dw0r de la ZeroPointer Lab în colaborare cu Trend Micro Zero Day Initiative, un cercetător anonim

IOSurfaceAccelerator

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-44169: Antonio Zekić

Kernel

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate obține acces neautorizat la Bluetooth

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) și Mathy Vanhoef

libxml2

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2024-44198: OSS-Fuzz, Ned Williamson de la Google Project Zero

mDNSResponder

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: o eroare de logică a fost remediată prin îmbunătățirea gestionării erorilor.

CVE-2024-44183: Olivier Levon

Safari

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: conținutul site-urilor web create cu rea intenție poate încălca politica de sandboxing iframe

Descriere: prin optimizarea validării intrărilor, s-a rezolvat o problemă privind gestionarea schemei URL personalizate.

CVE-2024-44155: Narendra Bhati, director pentru securitate cibernetică în cadrul Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2024-44144: 냥냥

Siri

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: este posibil ca o aplicație să poată accesa date sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de confidențialitate prin mutarea datelor sensibile într-o locație mai securizată.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-40857: Ron Masas

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un site web rău intenționat poate exfiltra date cu origini încrucișate

Descriere: în elementele „iframe” a existat o problemă legată de originile diferite. Aceasta a fost rezolvată prin îmbunătățirea urmăririi originilor de securitate.

CVE-2024-44187: Narendra Bhati, Manager of Cyber Security la Suma Soft Pvt. Ltd, Pune (India)

Alte mențiuni

Kernel

Dorim să mulțumim în special lui Braxton Anderson și Fakhri Zulkifli (@d0lph1n98) de la PixiePoint Security pentru asistența acordată.

Maps

Dorim să-i mulțumim lui Kirin (@Pwnrin) pentru asistența acordată.

Shortcuts

Dorim să îi mulțumim lui Cristian Dinca de la Colegiul Național de Informatică „Tudor Vianu”, România și Jacob Braun, un cercetător anonim, pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India, lui Rohan Paudel și unui cercetător anonim pentru asistența acordată.

Voice Memos

Dorim să îi mulțumim lui Lisa B pentru asistență.

WebKit

Dorim să îi mulțumim lui Avi Lumelsky din cadrul Oligo Security, lui Uri Katz din cadrul Oligo Security, lui Eli Grey (eligrey.com) și lui Johan Carlsson (joaxcar) pentru asistența acordată.