Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11,2

В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11,2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11,2

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может получать доступ к личной информации.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-54513: анонимный исследователь

FontParser

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54486: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54500: Junsung Lee в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может создать область памяти с доступом только для чтения, в которую возможно записывать данные.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2024-54494: sohybbyk

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) из MIT CSAIL

libexpat

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2024-45490

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54514: анонимный исследователь

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

SceneKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54501: Michael DePlante (@izobashi) из Trend Micro в рамках программы Zero Day Initiative.

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka из Google Project Zero

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-54508: linjy из HKUS3Lab и chluo из WHUSecLab, Xiangwei Zhang из Tencent Security YUNDING LAB

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2024-54505: Gary Kwong

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-54534: Tashita Software Security

Дополнительные благодарности

FaceTime

Выражаем благодарность за помощь 椰椰.

Датчик приближения

Выражаем благодарность за помощь Junming C. (@Chapoly1305) и Prof. Qiang Zeng из George Mason University.

Swift

Выражаем благодарность за помощь Marc Schoenefeld, Dr. rer. Marc Schoenefeld Schoenefeld.

WebKit

Выражаем благодарность за помощь пользователю Hafiizh.