Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 10.5
Vydáno 13. května 2024
AppleAVD
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikace může způsobit neočekávané ukončení systému.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Záznam aktualizován 15. května 2024
AppleMobileFileIntegrity
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočníkovi se může podařit získat přístup k datům uživatelů.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením ověřování proměnných prostředí.
CVE-2024-27805: Kirin (@Pwnrin) a 小来来 (@Smi1eSEC)
Záznam přidán 10. června 2024
Disk Images
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-27832: anonymní výzkumník
Záznam přidán 10. června 2024
Foundation
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-27801: Tým CertiK SkyFall
Záznam přidán 10. června 2024
IOSurface
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) ze společnosti STAR Labs SG Pte. Ltd.
Záznam přidán 10. června 2024
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočník, kterému se podařilo spustit kód jádra, může obejít ochranu paměti jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2024-27840: anonymní výzkumník
Záznam přidán 10. června 2024
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2024-27815: Anonymní výzkumník a Joseph Ravichandran (@0xjprx) ze společnosti MIT CSAIL
Záznam přidán 10. června 2024
libiconv
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-27811: Nick Wellnhofer
Záznam přidán 10. června 2024
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočník s fyzickým přístupem může vyzradit přihlašovací údaje k účtu služby Mail.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2024-23251: Gil Pedersen
Záznam přidán 10. června 2024
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Škodlivý e-mail může zahájit hovory přes FaceTime bez povolení uživatele.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Záznam přidán 10. června 2024
Maps
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.
CVE-2024-27810: LFY@secsys z Univerzity Fu-Tan
Messages
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivé zprávy může vést k odmítnutí služby.
Popis: Problém byl vyřešen odebráním zranitelného kódu.
CVE-2024-27800: Daniel Zajork a Joshua Zajork
Záznam přidán 10. června 2024
Phone
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Osobě s fyzickým přístupem k zařízení se může podařit zobrazit kontaktní údaje ze zamčené obrazovky.
Popis: Problém byl vyřešen vylepšením správy stavů.
CVE-2024-27814: Dalibor Milanovic
Záznam přidán 10. června 2024
RemoteViewServices
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočníkovi se může podařit získat přístup k datům uživatelů.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Výstupem zástupce mohou být citlivé údaje uživatele bez souhlasu.
Popis: Problém se zpracováváním cest byl vyřešen vylepšením ověřování.
CVE-2024-27821: Kirin (@Pwnrin), zbleet a Csaba Fitzl (@theevilbit) ze společnosti Kandji
Spotlight
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst citlivé údaje o uživateli.
Popis: Problém byl vyřešen vylepšením sanitizace prostředí.
CVE-2024-27806
Záznam přidán 10. června 2024
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočníkovi, který má možnost libovolně zapisovat a číst, se může podařit obejít ověřování ukazatele
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Škodlivému webu se může podařit vytvořit reprezentaci uživatele.
Popis: Problém byl vyřešen přidáním další logiky.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos ze společnosti Mozilla
Záznam přidán 10. června 2024
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard z CISPA Helmholtz Center for Information Security
Záznam přidán 10. června 2024
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontroly rozsahu.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) z organizace 360 Vulnerability Research Institute
Záznam přidán 10. června 2024
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočníkovi, který má možnost libovolně zapisovat a číst, se může podařit obejít ověřování ukazatele.
Popis: Problém byl vyřešen vylepšením kontroly.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) ve spolupráci se Zero Day Initiative společnosti Trend Micro
Záznam přidán 10. června 2024
WebKit Canvas
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Škodlivému webu se může podařit vytvořit reprezentaci uživatele.
Popis: Problém byl vyřešen vylepšením správy stavů.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) ze společnosti Crawless a @abrahamjuliot
Záznam přidán 10. června 2024
WebKit Web Inspector
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování obsahu webové stránky může vést ke spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson z underpassapp.com
Záznam přidán 10. června 2024
Další poděkování
App Store
Poděkování za pomoc zaslouží anonymní výzkumník.
AppleMobileFileIntegrity
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Záznam přidán 10. června 2024
CoreHAP
Poděkování za pomoc zaslouží Adrian Cable.
Disk Images
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Záznam přidán 10. června 2024
HearingCore
Poděkování za pomoc zaslouží anonymní výzkumník.
ImageIO
Poděkování za pomoc zaslouží anonymní výzkumník.
Záznam přidán 10. června 2024
Managed Configuration
Poděkování za pomoc zaslouží 遥遥领先 (@晴天组织).
Siri
Poděkování za pomoc zaslouží Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College of Technology, Bhopal v Indii.
Záznam přidán 10. června 2024
Transparency
Poděkování za pomoc zaslouží Mickey Jin (@patch1t).
Záznam přidán 10. června 2024