Om säkerhetsinnehållet i watchOS 10.6

I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 10.6.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

watchOS 10.6

AppleMobileFileIntegrity

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett nedgraderingsproblem åtgärdades med ytterligare kodsigneringsbegränsningar.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40799: D4m0n

dyld

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En angripare med opålitlig läs- och skrivkapacitet kan kringgå pekarautentisering

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2024-40815: w0wbox

Family Sharing

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kanske kan läsa känslig platsinformation

Beskrivning: Problemet åtgärdades genom förbättrat dataskydd.

CVE-2024-40795: Csaba Fitzl (@theevilbit) på Kandji

ImageIO

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2024-40806: Yisumi

ImageIO

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40777: Junsung Lee wi samarbete med Trend Micro Zero Day Initiative, Amir Bazine och Karsten König på CrowdStrike Counter Adversary Operations

ImageIO

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av en skadlig fil kan leda till oväntad appavslutning

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2024-40784: Junsung Lee i samarbete med Trend Micro Zero Day Initiative och Gandalf4a

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En lokal angripare kanske kan ta reda på schemat för kernelminnet

Beskrivning: Ett problem med att information avslöjades åtgärdades med förbättrad redigering av privata data för loggposter.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En lokal angripare kanske kan orsaka en oväntad systemavstängning

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-40788: Minghao Lin och Jiaxun Zhu från Zhejiang University

libxpc

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-40805

Phone

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En angripare med fysisk åtkomst kanske kan använda Siri för att komma åt känsliga användardata

Beskrivning: Ett problem med låsskärmen åtgärdades med förbättrad tillståndshantering.

CVE-2024-40813: Jacob Braun

Sandbox

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan kringgå inställningar för Integritet

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-40824: Wojciech Regula på SecuRing (wojciechregula.blog) och Zhongquan Li (@Guluisacat) från Dawn Security Lab of JingDong

Shortcuts

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En genväg kan använda känsliga data med vissa åtgärder utan att tillfråga användaren

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-40835: En anonym forskare

CVE-2024-40836: En anonym forskare

Shortcuts

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En genväg kan kringgå internetbehörighetskrav

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-40809: En anonym forskare

CVE-2024-40812: En anonym forskare

Shortcuts

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En genväg kan kringgå internetbehörighetskrav

Beskrivning: Det här problemet åtgärdades genom att lägga till en extra uppmaning om användarens samtycke.

CVE-2024-40787: En anonym forskare

Shortcuts

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En angripare med fysisk åtkomst kanske kan använda Siri för att komma åt känsliga användardata

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2024-40818: Bistrit Dahal och Srijan Poudel

Siri

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En angripare med fysisk åtkomst till en enhet kanske kan komma åt kontakter från låsskärmen

Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.

CVE-2024-40822: Srijan Poudel

VoiceOver

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En angripare kanske kan se begränsat innehåll via låsskärmen

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) på Lakshmi Narain College of Technology Bhopal India

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2024-40776: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40779: Huang Xilin på Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin på Ant Group Light-Year Security Lab

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-40789: Seunghyun Lee (@0x10n) på KAIST Hacking Lab i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-44185: Gary Kwong

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En användare kanske kan kringgå vissa webbinnehållsbegränsningar

Beskrivning: Ett problem med hanteringen av URL-protokoll löstes med förbättrad logik.

CVE-2024-44206: Andreas Jaegersberger och Ro Achterberg

Ytterligare tack

Shortcuts

Vi vill tacka en anonym forskare för hjälpen.