Om säkerhetsinnehållet i watchOS 11.2

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 11.2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan om Apples säkerhetssläpp.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

watchOS 11.2

APFS

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan komma åt användarkänsliga data

Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) och en anonym forskare

AppleMobileFileIntegrity

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app med skadligt innehåll kan få tillgång till personlig information

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kanske kan komma åt känsliga användardata

Beskrivning: Ett behörighetsproblem åtgärdades med ytterligare begränsningar.

CVE-2024-54513: En anonym forskare

Face Gallery

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Ett binärt system kunde användas för att ta ett fingeravtryck av en användares Apple-konto

Beskrivning: Problemet hanterades genom att ta bort relevanta flaggor.

CVE-2024-54512: Bistrit Dahal

FontParser

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) på Trend Micro Zero Day Initiative

ICU

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Ett problem med dataåtkomst utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2024-54478: Gary Kwong

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades med förbättrad minneshantering.

CVE-2024-54499: Anonym i samarbete med Trend Micro Zero Day Initiative

ImageIO

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en skadlig bild kan leda till spridning av processminne

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54500: Junsung Lee i samarbete med Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: en app kan korrumpera coprocessor-minnet

Beskrivning: Problemet hanterades med förbättrade gränskontroller.

CVE-2024-54517: Ye Zhang (@VAR10CK) på Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) på Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) på Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) på Baidu Security

Kernel

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54468: En anonym forskare

Kernel

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En angripare kan skapa en mappning till ett skrivskyddad minne som det går att skriva till

Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.

CVE-2024-54494: sohybbyk

Kernel

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan läcka känsliga kerneltillstånd

Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) på MIT CSAIL

libexpat

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En fjärrangripare kan orsaka att appar avslutas oväntat eller att opålitlig kod körs

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-45490

libxpc

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan bryta sig ut från sin sandlåda

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54514: En anonym forskare

libxpc

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: En app kan få högre behörighet

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Automatisk ifyllnad av lösenord kan fylla i lösenord efter misslyckad autentisering

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) från C-DAC Thiruvananthapuram Indien, Rakeshkumar Talaviya

QuartzCore

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av webbinnehåll kan leda till ett DoS-angrepp

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54497: Anonym i samarbete med Trend Micro Zero Day Initiative

Safari Private Browsing

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Privata surfflikar kan nås utan autentisering

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en fil med skadligt innehåll kan leda till att tjänsten nekas

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) på Trend Micros Zero Day Initiative

Vim

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av en skadlig fil kan leda till heap-fel

Beskrivning: Detta är en sårbarhet i öppen källkod och Apple Software är ett av de drabbade projekten. CVE-ID:t tilldelades av tredje part. Läs mer om problemet och CVE-ID på cve.org.

CVE-2024-45306

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrade kontroller.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka på Google Project Zero

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till en oväntad processkrasch

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-54508: linjy på HKUS3Lab, chluo på WHUSecLab och Xiangwei Zhang på Tencent Security YUNDING LAB

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

CVE-2024-54505: Gary Kwong

WebKit

Tillgängligt för: Apple Watch Series 6 och senare 

Effekt: Bearbetning av skadligt webbinnehåll kan leda till minnesfel

Beskrivning: Problemet hanterades med förbättrad minneshantering.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong och en anonym forskare

Ytterligare tack

FaceTime

Vi vill tacka 椰椰 för hjälpen.

Proximity

Vi vill tacka Junming C. (@Chapoly1305) och professor Qiang Zeng från George Mason University för hjälpen.

Swift

Vi vill tacka Marc Schoenefeld, Dr. rer. nat. för hjälpen.

WebKit

Vi vill tacka Hafiizh för hjälpen.