Despre conținutul de securitate din watchOS 11.2

Acest document descrie conținutul de securitate din watchOS 11.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Lansările recente sunt listate pe pagina de lansări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID, atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina Securitatea produselor Apple.

watchOS 11.2

AppleMobileFileIntegrity

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație rău intenționată poate accesa informații confidențiale

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: o problemă de permisiuni a fost rezolvată prin restricții suplimentare.

CVE-2024-54513: un cercetător anonim

FontParser

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54486: Hossein Lotfi (@hosselot) de la Trend Micro Zero Day Initiative

ImageIO

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza divulgarea memoriei de proces

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54500: Junsung Lee în colaborare cu Trend Micro Zero Day Initiative

Kernel

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator ar putea crea o mapare de memorie numai pentru citire în care se poate scrie

Descriere: a fost rezolvată o condiție de rulare prin validare suplimentară.

CVE-2024-54494: sohybbyk

Kernel

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate scurge informații sensibile privind starea kernelului

Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) de la MIT CSAIL

libexpat

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: un atacator la distanță poate provoca închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: aceasta este o vulnerabilitate a codului în sursă deschisă, iar software-ul Apple se află printre proiectele afectate. CVE-ID a fost alocat de un terț. Află mai multe despre problemă și despre CVE-ID la adresa cve.org.

CVE-2024-45490

libxpc

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: o aplicație poate evada din sandbox

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54514: un cercetător anonim

libxpc

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

SceneKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54501: Michael DePlante (@izobashi) de la Zero Day Initiative (Trend Micro)

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka de la Google Project Zero

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea de conținut web creat cu rea intenție poate cauza blocarea neașteptată a procesului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-54508: linjy de la HKUS3Lab și chluo de la WHUSecLab, Xiangwei Zhang de la Tencent Security YUNDING LAB

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2024-54505: Gary Kwong

WebKit

Disponibilitate: Apple Watch Series 6 și modele ulterioare

Impact: procesarea conținutului web creat cu rea intenție poate duce la coruperea memoriei

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-54534: Tashita Software Security

Alte mențiuni

FaceTime

Dorim să-i mulțumim lui 椰椰 pentru asistența acordată.

Proximity

Dorim să le mulțumim lui Junming C. (@Chapoly1305) și profesorului Qiang Zeng de la George Mason University pentru asistența acordată.

Swift

Dorim să-i mulțumim lui Marc Schoenefeld, Dr. rer. nat. pentru asistența acordată.

WebKit

Dorim să-i mulțumim lui Hafiizh pentru asistența acordată.