Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением watchOS 11.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11.1

Accessibility

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может просматривать конфиденциальные данные пользователя.

Описание. Проблема устранена путем улучшения аутентификации.

CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin

App Support

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может выполнять произвольные быстрые команды без согласия пользователя.

Описание. Проблема с обработкой путей устранена за счет улучшения логики.

CVE-2024-44255: анонимный исследователь

AppleAVD

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ вредоносного видеофайла может привести к неожиданному завершению работы системы.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2024-44232: Ivan Fratric из Google Project Zero

CVE-2024-44233: Ivan Fratric из Google Project Zero

CVE-2024-44234: Ivan Fratric из Google Project Zero

CoreMedia Playback

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может получать доступ к личной информации.

Описание. Проблема устранена путем улучшенной обработки символических ссылок.

CVE-2024-44273: pattern-f (@pattern_F_), Hikerell из Loadshine Lab

CoreText

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44240: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

CVE-2024-44302: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

Foundation

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Анализ файла может приводить к раскрытию данных пользователя.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2024-44282: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка изображения может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшения проверок.

CVE-2024-44215: Junsung Lee в рамках Trend Micro Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2024-44297: Jex Amro

IOSurface

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать неожиданное завершение работы системы или повреждать память ядра.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2024-44285: анонимный исследователь

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Проблема раскрытия информации была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-44239: Mateusz Krzywicki (@krzywix)

Security

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.

Описание. Проблема с отказом в обслуживании устранена путем улучшенной проверки ввода.

CVE-2024-54538: Bing Shi, Wenchao Li и Xiaolong Bai из Alibaba Group, а также Luyi Xing из Университета Индианы в Блумингтоне

Shortcuts

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44254: Kirin (@Pwnrin)

Shortcuts

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может использовать быстрые команды для доступа к защищенным файлам.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-44269: Kirin (@Pwnrin) и анонимный исследователь

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение в изолированной среде может получать доступ к конфиденциальным данным пользователя в системных журналах.

Описание. Проблема раскрытия информации была решена путем улучшения редактирования личных данных для записей журнала.

CVE-2024-44278: Kirin (@Pwnrin)

Weather

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может определить текущее местоположение пользователя.

Описание. Проблема устранена путем улучшенного редактирования конфиденциальной информации.

CVE-2024-44290: Kirin (@Pwnrin)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Файлы cookie, принадлежащие одному источнику, могут быть отправлены другому.

Описание. Проблема с управлением файлами cookie устранена путем улучшенного управления состояниями.

CVE-2024-44212: Wojciech Regula из SecuRing (wojciechregula.blog)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может препятствовать выполнению правил обеспечения безопасности содержимого.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-44296: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2024-44244: анонимный исследователь, пользователи Q1IQ (@q1iqF) и P1umer (@p1umer)

Дополнительные благодарности

Calculator

Выражаем благодарность за помощь Kenneth Chew.

Calendar

Выражаем благодарность за помощь пользователю K宝 (@Pwnrin).

ImageIO

Выражаем благодарность за помощь Amir Bazine и Karsten König из CrowdStrike Counter Adversary Operations, а также анонимному исследователю.

Messages

Выражаем благодарность за помощь Collin Potter и анонимному исследователю.

NetworkExtension

Выражаем благодарность за помощь Patrick Wardle из DoubleYou и фонду Objective-See Foundation.

Photos

Выражаем благодарность за помощь пользователю James Robertson.

Siri

Выражаем благодарность за помощь пользователю Bistrit Dahal.