Проблеми системи безпеки, які усунено у watchOS 11.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.2.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
watchOS 11.2
Дата випуску: 11 грудня 2024 р.
APFS
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) і анонімний дослідник
Запис додано 27 січня 2025 р.
AppleMobileFileIntegrity
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: шкідлива програма може отримувати доступ до приватної інформації.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54526: Mickey Jin (@patch1t) і Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом вирішено за допомогою додаткових обмежень.
CVE-2024-54513: анонімний дослідник
Face Gallery
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: системний двійковий файл можна використовувати для ідентифікації облікового запису Apple користувача за відбитком пальця.
Опис: проблему вирішено завдяки видаленню прапорців.
CVE-2024-54512: Bistrit Dahal
Запис додано 27 січня 2025 р.
FontParser
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative
ICU
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2024-54478: Gary Kwong
Запис додано 27 січня 2025 р.
ImageIO
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.
CVE-2024-54499: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 27 січня 2025 р.
ImageIO
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
IOMobileFrameBuffer
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може розкривати дані з пам’яті пошкодженого співпроцесора.
Опис: проблему вирішено завдяки вдосконаленню перевірки меж.
CVE-2024-54517: Ye Zhang (@VAR10CK) з Baidu Security
CVE-2024-54518: Ye Zhang (@VAR10CK) з Baidu Security
CVE-2024-54522: Ye Zhang (@VAR10CK) з Baidu Security
CVE-2024-54523: Ye Zhang (@VAR10CK) з Baidu Security
Запис додано 27 січня 2025 р.
Kernel
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54468: анонімний дослідник
Запис додано 27 січня 2025 р.
Kernel
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: зловмисник може створити відображення пам’яті лише для читання, у яке можна записувати дані.
Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.
CVE-2024-54494: sohybbyk
Kernel
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.
Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) із MIT CSAIL
libexpat
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.
CVE-2024-45490
libxpc
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може виходити за межі ізольованого середовища.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54514: анонімний дослідник
libxpc
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримувати вищий рівень привілеїв.
Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.
CVE-2024-44225: 风沐云烟(@binary_fmyy)
Passkeys
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: функція автозаповнення паролів може заповнювати паролі після невдалої автентифікації.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) із C-DAC Thiruvananthapuram (Індія), Rakeshkumar Talaviya
Запис додано 27 січня 2025 р.
QuartzCore
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Запис додано 27 січня 2025 р.
Safari Private Browsing
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: доступ до вкладок, відкритих у режимі «Приватний перегляд», може бути здійснено без автентифікації.
Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.
CVE-2024-54542: Rei (@reizydev), Kenneth Chew
Запис додано 27 січня 2025 р.
SceneKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»
Vim
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.
Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.
CVE-2024-45306
Запис додано 27 січня 2025 р.
WebKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню перевірок.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka з Google Project Zero
WebKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy із HKUS3Lab та chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB
WebKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong і анонімний дослідник
Запис оновлено 27 січня 2025 р.
Додаткова подяка
FaceTime
Дякуємо 椰椰 за допомогу.
Proximity
Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng університету George Mason.
Swift
Дякуємо за допомогу Marc Schoenefeld, др. природничих наук.
WebKit
Дякуємо Hafiizh за допомогу.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.