Om sikkerhedsindholdet i watchOS 10.5

I dette dokument beskrives sikkerhedsindholdet i watchOS 10.5.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 10.5

Apple Neural Engine

Fås til enheder med Apple Neural Engine: Apple Watch Series 9 og Apple Watch Ultra 2

Effekt: En lokal hacker kan muligvis forårsage uventet nedlukning af systemet

Beskrivelse: Problemet er løst via forbedret hukommelseshåndtering.

CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security

AppleAVD

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan forårsage uventet systemlukning

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker kan muligvis få adgang til brugerdata

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst ved forbedret godkendelse af miljøvariabler.

CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)

Disk Images

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27832: en anonym programmør

Foundation

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27801: CertiK SkyFall Team

IOSurface

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå beskyttelse af kernehukommelsen

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27840: en anonym programmør

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.

CVE-2024-27815: en anonym programmør og Joseph Ravichandran (@0xjprx) fra MIT CSAIL

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker i en privilegeret netværksposition kan muligvis efterligne netværkspakker

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, prof. Amit Klein fra Hebrew University og EP

libiconv

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til ekstra rettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27811: Nick Wellnhofer

Mail

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med fysisk adgang kan muligvis lække loginoplysninger til Mail-konti

Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.

CVE-2024-23251: Gil Pedersen

Mail

Fås til: Apple Watch Series 4 og nyere

Effekt: En e-mail med skadeligt indhold kan muligvis starte FaceTime-opkald uden brugerens tilladelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Maps

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2024-27810: LFY@secsys fra Fudan University

Messages

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af en besked med skadeligt indhold kan medføre et DoS-angreb

Beskrivelse: Problemet er løst ved at fjerne den sårbare kode.

CVE-2024-27800: Daniel Zajork og Joshua Zajork

Phone

Fås til: Apple Watch Series 4 og nyere

Effekt: En person med fysisk adgang til en enhed kan muligvis se kontaktoplysninger fra låseskærmen

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-27814: Dalibor Milanovic

RemoteViewServices

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker kan muligvis få adgang til brugerdata

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Fås til: Apple Watch Series 4 og nyere

Effekt: En genvej kan føre til følsomme brugerdata uden tilladelse

Beskrivelse: Et problem med stihåndtering er løst via forbedret validering.

CVE-2024-27821: Kirin (@Pwnrin), zbleet og Csaba Fitzl (@theevilbit) fra Kandji

Spotlight

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet blev løst ved forbedret rensning af miljøet.

CVE-2024-27806

Transparency

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Problemet er løst med en ny rettighed.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med mulighed for at læse fra og skrive til hukommelsen kan muligvis omgå markørgodkendelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27834: Manfred Paul (@_manfp), der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet blev løst ved at tilføje yderligere logik.

CVE-2024-27838: Emilio Cobos fra Mozilla

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27808: Lukas Bernhard fra CISPA Helmholtz Center for Information Security

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedrede kontroller af grænser.

CVE-2024-27851: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-27834: Manfred Paul (@_manfp), der arbejder med Trend Micros Zero Day Initiative

WebKit Canvas

Fås til: Apple Watch Series 4 og nyere

Effekt: En webside med skadeligt indhold kan muligvis få adgang til at aflæse brugerens fingeraftryk

Beskrivelse: Problemet er løst via forbedret statusadministration.

CVE-2024-27830: Joe Rutkowski (@Joe12387) fra Crawless og @abrahamjuliot

WebKit Web Inspector

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-27820: Jeff Johnson fra underpassapp.com

Yderligere anerkendelser

App Store

Vi vil gerne takke en anonym programmør for hjælpen.

AppleMobileFileIntegrity

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

CoreHAP

Vi vil gerne takke Adrian Cable for hjælpen.

Disk Images

Vi vil gerne takke Mickey Jin (@patch1t) for hjælpen.

HearingCore

Vi vil gerne takke en anonym programmør for hjælpen.

ImageIO

Vi vil gerne takke en anonym programmør for hjælpen.

Managed Configuration

Vi vil gerne takke 遥遥领先 (@晴天组织) for hjælpen.

Siri

Vi vil gerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i Indien for hjælpen.