Obsah zabezpečenia v systéme watchOS 11.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 11.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

watchOS 11.2

APFS

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) a anonymný výskumník

AppleMobileFileIntegrity

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka so škodlivým kódom môže byť schopná získať prístup k súkromným informáciám

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať prístup k citlivým používateľským dátam

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-54513: anonymný výskumník

Face Gallery

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Binárny systémový súbor bolo možné použiť na získanie odtlačkov prstov pre Apple účet používateľa

Popis: Tento problém bol vyriešený odstránením relevantných príznakov.

CVE-2024-54512: Bistrit Dahal

FontParser

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54486: Hossein Lotfi (@hosselot) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

ICU

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-54478: Gary Kwong

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2024-54499: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

ImageIO

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54500: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOMobileFrameBuffer

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná poškodiť pamäť koprocesora

Popis: Tento problém bol vyriešený vylepšením kontrol obmedzení.

CVE-2024-54517: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) z tímu Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) z tímu Baidu Security

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54468: Anonymný výskumník

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Útočník môže byť schopný vytvoriť mapovanie pamäte len na čítanie, ktoré umožní zapisovanie

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-54494: sohybbyk

Kernel

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná spôsobiť únik citlivých informácií o stave jadra

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) z tímu MIT CSAIL

libexpat

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Vzdialený útočník môže spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45490

libxpc

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná pracovať mimo svojho sandboxu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54514: Anonymný výskumník

libxpc

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Funkcia automatického vypĺňania hesiel môže po neúspešnej autentifikácii vypĺňať heslá

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) z centra C-DAC Thiruvananthapuram v Indii, Rakeshkumar Talaviya

QuartzCore

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu môže viesť k odopretiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54497: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Safari Private Browsing

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Prístup k tabom anonymného prezerania je možný bez overenia

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54501: Michael DePlante (@izobashi) z tímu projektu Zero Day Initiative spoločnosti Trend Micro

Vim

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2024-45306

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka z tímu Google Project Zero

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54508: linjy z tímu HKUS3Lab a chluo z tímu WHUSecLab, Xiangwei Zhang z tímu YUNDING LAB spoločnosti Tencent Security

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54505: Gary Kwong

WebKit

Dostupné pre: Apple Watch Series 6 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k poškodeniu pamäte

Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong a anonymný výskumník

Ďalšie poďakovanie

FaceTime

Poďakovanie za pomoc si zaslúži 椰椰.

Proximity

Poďakovanie za pomoc si zaslúžia Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity Georga Masona.

Swift

Poďakovanie za pomoc si zaslúži Marc Schoenefeld, Dr. rer. nat.  

WebKit

Poďakovanie za pomoc si zaslúži Hafiizh.