Informácie o obsahu zabezpečenia v systéme watchOS 11

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 11.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

watchOS 11

Accessibility

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Útočník s fyzickým prístupom k uzamknutému zariadeniu môže byť schopný ovládať zariadenia nablízku prostredníctvom funkcií prístupnosti

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44171: Jake Derouin

Game Center

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Problém s prístupom k súborom sa vyriešil vylepšením overovania vstupu.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-27880: Junsung Lee

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-44176: dw0r z ZeroPointer Lab spolupracujúci s Trend Micro Zero Day Initiative, anonymný výskumník

IOSurfaceAccelerator

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie činnosti systému

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-44169: Antonio Zekić

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže získať neoprávnený prístup k rozhraniu Bluetooth

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) a Mathy Vanhoef

libxml2

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44198: OSS-Fuzz, Ned Williamson z Google Project Zero

mDNSResponder

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť odopretie služby

Popis: Dochádzalo k logickej chybe, ktorá bola vyriešená vylepšením spracovania chýb.

CVE-2024-44183: Olivier Levon

Safari

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Webový obsah so škodlivým kódom môže porušovať zásady izolovania priestoru pre prvky iFrame

Popis: Dochádzalo k problému so spracovaním vlastnej schémy URL, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-44155: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2024-44144: 냥냥

Siri

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Dochádzalo k problému s ochranou súkromia, ktorý bol vyriešený presunutím citlivých údajov do bezpečnejšieho umiestnenia.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40857: Ron Masas

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom

Popis: V rámcoch iframe dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením sledovania pôvodov zabezpečenia.

CVE-2024-44187: Narendra Bhati, manažér kybernetickej bezpečnosti v spoločnosti Suma Soft Pvt. Ltd, Pune (India)

Ďalšie poďakovanie

Kernel

Poďakovanie za pomoc si zaslúži Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) z PixiePoint Security.

Maps

Poďakovanie za pomoc si zaslúži Kirin (@Pwnrin).

Shortcuts

Poďakovanie za pomoc si zaslúži Cristian Dinca z „Tudor Vianu“ National High School of Computer Science, Rumunsko, Jacob Braun, anonymný výskumník.

Siri

Poďakovanie za pomoc si zaslúžia Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology Bhopal India, Rohan Paudel a anonymný výskumník.

Voice Memos

Poďakovanie za pomoc si zaslúži Lisa B.

WebKit

Poďakovanie za pomoc si zaslúžia Avi Lumelsky z tímu Oligo Security, Uri Katz z tímu Oligo Security, Eli Grey (eligrey.com) a Johan Carlsson (joaxcar).