关于 watchOS  11.2 的安全性内容

这篇文稿介绍了 watchOS 11.2 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发布版本之前，Apple 不会公开、讨论或确认安全性问题。“Apple 安全性发布”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

watchOS 11.2

AppleMobileFileIntegrity

适用于：Apple Watch Series 6 及更新机型

影响：恶意 App 或许能够访问隐私信息

描述：已通过改进检查解决这个问题。

CVE-2024-54526：Mickey Jin (@patch1t)、Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

适用于：Apple Watch Series 6 及更新机型

影响：App 或许能够访问敏感的用户数据

描述：已通过改进检查解决这个问题。

CVE-2024-54527：Mickey Jin (@patch1t)

Crash Reporter

适用于：Apple Watch Series 6 及更新机型

影响：App 或许能够访问敏感的用户数据

描述：已通过实施额外的限制解决权限问题。

CVE-2024-54513：一位匿名研究人员

FontParser

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的字体可能会导致进程内存泄漏

描述：已通过改进检查解决这个问题。

CVE-2024-54486：Trend Micro Zero Day Initiative 的 Hossein Lotfi (@hosselot)

ImageIO

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的图像可能会导致进程内存泄露

描述：已通过改进检查解决这个问题。

CVE-2024-54500：Junsung Lee 与 Trend Micro Zero Day Initiative 合作发现

Kernel

适用于：Apple Watch Series 6 及更新机型

影响：攻击者或许能够创建可被写入的只读内存映射

描述：已通过实施额外的验证解决竞态条件问题。

CVE-2024-54494：sohybbyk

Kernel

适用于：Apple Watch Series 6 及更新机型

影响：App 或许能够泄露敏感内核状态

描述：已通过改进锁定解决竞态条件问题。

CVE-2024-54510：MIT CSAIL 的 Joseph Ravichandran (@0xjprx)

libexpat

适用于：Apple Watch Series 6 及更新机型

影响：远程攻击者可能会导致 App 意外终止或任意代码执行

描述：这是开源代码中的一个漏洞，Apple 软件也在受影响的项目之列。这个 CVE-ID 由第三方分配。如需详细了解这个问题以及 CVE-ID，请访问 cve.org。

CVE-2024-45490

libxpc

适用于：Apple Watch Series 6 及更新机型

影响：App 或许能够突破沙盒

描述：已通过改进检查解决这个问题。

CVE-2024-54514：一位匿名研究人员

libxpc

适用于：Apple Watch Series 6 及更新机型

影响：App 或许能够获取提升的权限

描述：已通过改进检查解决逻辑问题。

CVE-2024-44225：风沐云烟(@binary_fmyy)

SceneKit

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的文件可能会导致服务遭拒

描述：已通过改进检查解决这个问题。

CVE-2024-54501：Trend Micro Zero Day Initiative 的 Michael DePlante (@izobashi)

WebKit

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的网页内容可能会导致进程意外崩溃

描述：已通过改进检查解决这个问题。

CVE-2024-54479：Seunghyun Lee

CVE-2024-54502：Google Project Zero 的 Brendon Tiszka

WebKit

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的网页内容可能会导致进程意外崩溃

描述：已通过改进内存处理解决这个问题。

CVE-2024-54508：HKUS3Lab 的 linjy 和 WHUSecLab 的 chluo、腾讯安全云鼎实验室的 Xiangwei Zhang

WebKit

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的网页内容可能会导致内存损坏

描述：已通过改进内存处理解决类型混淆问题。

CVE-2024-54505：Gary Kwong

WebKit

适用于：Apple Watch Series 6 及更新机型

影响：处理恶意制作的网页内容可能会导致内存损坏

描述：已通过改进内存处理解决这个问题。

CVE-2024-54534：Tashita Software Security

特别鸣谢

FaceTime

由衷感谢椰椰为我们提供的协助。

Proximity

由衷感谢 Junming C. (@Chapoly1305) 和乔治梅森大学的 Qiang Zeng 教授为我们提供的协助。

Swift

由衷感谢 Marc Schoenefeld（自然科学博士）为我们提供的协助。

WebKit

由衷感谢 Hafiizh 为我们提供的协助。