Informace o bezpečnostním obsahu watchOS 11.2
Tento dokument popisuje bezpečnostní obsah watchOS 11.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 11.2
Vydáno 11. prosince 2024
APFS
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2024-54541: Arsenii Kostromin (0x3c3e) a anonymní výzkumník
Záznam přidán 27. ledna 2025
Apple Account
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit sledovat uživatelovu aktivitu.
Popis: Problém byl vyřešen vylepšením zpracování protokolů.
CVE-2024-40864: Wojciech Regula z týmu SecuRing (wojciechregula.blog)
Záznam přidán 2. dubna 2025
AppleMobileFileIntegrity
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Škodlivé aplikaci se může podařit získat přístup k soukromým informacím.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)
AppleMobileFileIntegrity
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2024-54527: Mickey Jin (@patch1t)
Crash Reporter
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém s oprávněními byl vyřešen přidáním dalších omezení.
CVE-2024-54513: anonymní výzkumník
Face Gallery
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Binární systém by se dal využít k vytvoření otisku uživatelova účtu Apple.
Popis: Problém byl vyřešen odstraněním relevantních příznaků.
CVE-2024-54512: Bistrit Dahal
Záznam přidán 27. ledna 2025
FontParser
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54486: Hossein Lotfi (@hosselot) z týmu Zero Day Initiative společnosti Trend Micro
ICU
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2024-54478: Gary Kwong
Záznam přidán 27. ledna 2025
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2024-54499: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 27. ledna 2025
ImageIO
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého obrázku může vést k odhalení paměti procesu.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54500: Junsung Lee ve spolupráci se Zero Day Initiative společnosti Trend Micro
IOMobileFrameBuffer
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit narušit paměť koprocesoru.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2024-54517: Ye Zhang (@VAR10CK) z týmu Baidu Security
CVE-2024-54518: Ye Zhang (@VAR10CK) z týmu Baidu Security
CVE-2024-54522: Ye Zhang (@VAR10CK) z týmu Baidu Security
CVE-2024-54523: Ye Zhang (@VAR10CK) z týmu Baidu Security
Záznam přidán 27. ledna 2025
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54468: anonymní výzkumník
Záznam přidán 27. ledna 2025
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi se může podařit vytvořit namapování paměti jen pro čtení, do kterého se dá zapisovat.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2024-54494: sohybbyk
Kernel
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.
Popis: Problém se souběhem byl vyřešen vylepšením zamykání.
CVE-2024-54510: Joseph Ravichandran (@0xjprx) z týmu MIT CSAIL
libexpat
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2024-45490
libxpc
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit uniknout ze sandboxu.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54514: anonymní výzkumník
libxpc
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2024-44225: 风沐云烟 (@binary_fmyy)
MobileBackup
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Obnovení škodlivého souboru zálohy může vést k úpravě chráněných systémových souborů.
Popis: Problém v logice byl vyřešen vylepšením zpracování souborů.
CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (společné zjištění: Davis Dai, ORAC 落云, Frank Du)
Záznam přidán 17. března 2025
Passkeys
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Automatické vyplňování hesel může vyplnit hesla i po neúspěšném ověření.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) ze společnosti C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya, Tomomasa Hiraiwa
Záznam přidán 27. ledna 2025, aktualizován 17. března 2025
QuartzCore
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování webového obsahu může vést k odepření služby.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54497: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 27. ledna 2025
Safari Private Browsing
K dispozici pro: Apple Watch Series 6 a novější
Dopad: K panelům v anonymním režimu lze přistupovat bez ověření.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavů.
CVE-2024-54542: Rei (@reizydev), Kenneth Chew
Záznam přidán 27. ledna 2025
SceneKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého souboru může vést k odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-54501: Michael DePlante (@izobashi) z týmu Zero Day Initiative společnosti Trend Micro
Vim
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého souboru může vést k poškození haldy.
Popis: Jedná se o slabinu v open source kódu, která má vliv i na software Apple. Identifikátor CVE-ID byl přiřazen třetí stranou. Další informace o problému a identifikátoru CVE-ID najdete na cve.org.
CVE-2024-45306
Záznam přidán 27. ledna 2025
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 278497
CVE-2024-54479: Seunghyun Lee
WebKit Bugzilla: 281912
CVE-2024-54502: Brendon Tiszka z týmu Google Project Zero
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu procesu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 282180
CVE-2024-54508: linjy z týmu HKUS3Lab a chluo z týmu WHUSecLab, Xiangwei Zhang z týmu YUNDING LAB společnosti Tencent Security
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém se záměnou typů byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 282661
CVE-2024-54505: Gary Kwong
WebKit
K dispozici pro: Apple Watch Series 6 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k poškození paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 277967
CVE-2024-54534: Tashita Software Security
WebKit Bugzilla: 282450
CVE-2024-54543: Lukas Bernhard, Gary Kwong a anonymní výzkumník
Záznam aktualizován 27. ledna 2025
Další poděkování
Bluetooth
Poděkování za pomoc zaslouží Sophie Winter.
Záznam přidán 17. března 2025
FaceTime
Poděkování za pomoc zaslouží 椰椰.
Proximity
Poděkování za pomoc zaslouží Junming C. (@Chapoly1305) a Prof. Qiang Zeng z Univerzity George Masona.
Swift
Poděkování za pomoc zaslouží Marc Schoenefeld, Dr. rer. nat.
WebKit
Poděkování za pomoc zaslouží Hafiizh.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.