Проблеми системи безпеки, які усунено в оновленні watchOS 11

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 11

Accessibility

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисник із фізичним доступом до заблокованого пристрою може використовувати функцію «Керування пристроями поблизу» за допомогою функцій доступності.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44171: Jake Derouin

Game Center

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом до файлів вирішено завдяки поліпшенню перевірки вводу.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-27880: Junsung Lee

ImageIO

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка зображення може призвести до відмови в обслуговуванні.

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-44176: користувач dw0r із ZeroPointer Lab, що співпрацює з компанією Trend Micro в межах ініціативи Zero Day Initiative, анонімний дослідник

IOSurfaceAccelerator

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може спричинити несподіване завершення роботи системи.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-44169: Antonio Zekić

Kernel

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може отримати несанкціонований доступ до Bluetooth.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) і Mathy Vanhoef

libxml2

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-44198: користувач OSS-Fuzz і Ned Williamson із підрозділу Google Project Zero

mDNSResponder

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може спричинити відмову в обслуговуванні.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-44183: Olivier Levon

Safari

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: шкідливий вебконтент може порушувати політику щодо iframe sandbox.

Опис: проблему з обробкою користувацьких схем URL-адрес вирішено завдяки вдосконаленню перевірки вводу.

CVE-2024-44155: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

SceneKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.

Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки розміру.

CVE-2024-44144: 냥냥

Siri

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з приватністю вирішено шляхом переміщення конфіденційних даних у безпечніше розташування.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-40857: Ron Masas

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.

Опис: виникала проблема з перехресними джерелами, що пов’язані з елементами iFrame. Цю проблему вирішено шляхом удосконаленого відстеження джерел безпеки.

CVE-2024-44187: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)

Додаткова подяка

Kernel

Дякуємо за допомогу користувачам Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) із PixiePoint Security.

Maps

Дякуємо за допомогу користувачу Kirin (@Pwnrin).

Shortcuts

Дякуємо за допомогу користувачам Cristian Dinca з Національної вищої школи інформатики Тудора Віану (Румунія), Jacob Braun і анонімному досліднику.

Siri

Дякуємо за допомогу користувачам Abhay Kailasia (@abhay_kailasia) з Технологічного коледжу Лакшмі Нараян у Бхопалі (Індія), Rohan Paudel і анонімному досліднику.

Voice Memos

Дякуємо за допомогу користувачу Lisa B.

WebKit

Дякуємо за допомогу користувачам Avi Lumelsky з Oligo Security, Uri Katz з Oligo Security, Eli Grey (eligrey.com) і Johan Carlsson (joaxcar).