Om sikkerhedsindholdet i watchOS 10.4

I dette dokument beskrives sikkerhedsindholdet i watchOS 10.4.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden Apples sikkerhedsudgivelser.

Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 10,4

Accessibility

Fås til: Apple Watch Series 4 og nyere

Effekt: En skadelig app kan muligvis observere brugerdata i logposter, der er relateret til tilgængelighedsmeddelelser

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2024-23291

AppleMobileFileIntegrity

Fås til: Apple Watch Series 4 og nyere

Effekt: En app får muligvis ekstra rettigheder

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2024-23288: Wojciech Regula fra SecuRing (wojciechregula.blog) og Kirin (@Pwnrin)

CoreBluetooth - LE

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis tilgå Bluetooth-forbundne mikrofoner uden brugertilladelse

Beskrivelse: Et adgangsproblem er løst med forbedrede adgangsbegrænsninger.

CVE-2024-23250: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

file

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-48554

ImageIO

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et billede kan medføre afvikling af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2024-23286: Junsung Lee, der arbejder med Trend Micros Zero Day Initiative, Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) samt Lyutoon og Mr.R

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: En konkurrencetilstand er blevet løst med yderligere validering.

CVE-2024-23235

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen

Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er løst via forbedret låsning.

CVE-2024-23265: Xinru Chi fra Pangu Lab

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med mulighed for at læse fra og skrive til kernen kan muligvis omgå kernehukommelsesbeskyttelse. Apple er opmærksom på, at dette problem kan være blevet udnyttet.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2024-23225

libxpc

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-23278: en anonym programmør

libxpc

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode fra sin sandbox eller med bestemte ekstra rettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-0258: ali yabuz

MediaRemote

Fås til: Apple Watch Series 4 og nyere

Effekt: En skadelig app kan muligvis få adgang til private oplysninger

Beskrivelse: Problemet blev løst ved forbedrede kontroller.

CVE-2024-23297: scj643

Messages

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et fortrolighedsproblem blev løst med forbedret håndtering af midlertidige arkiver.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med mulighed for at læse fra og skrive til kernen kan muligvis omgå kernehukommelsesbeskyttelse. Apple er opmærksom på, at dette problem kan være blevet udnyttet.

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.

CVE-2024-23296

Sandbox

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger

Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2024-23290: Wojciech Regula fra SecuRing (wojciechregula.blog)

Share Sheet

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et anonymitetsproblem er løst ved forbedret redigering af private data for logposter.

CVE-2024-23231: Kirin (@Pwnrin) og luckyu (@uuulucky)

Siri

Fås til: Apple Watch Series 4 og nyere

Effekt: En bruger med fysisk adgang til en enhed kan muligvis bruge Siri til at få adgang til private kalenderoplysninger

Beskrivelse: Et problem med låseskærmen blev løst ved forbedret statusadministration.

CVE-2024-23289: Lewis Hardy

Siri

Fås til: Apple Watch Series 4 og nyere

Effekt: En hacker med fysisk adgang kan muligvis bruge Siri til at tilgå følsomme brugerdata

Beskrivelse: Problemet er løst ved hjælp af forbedret statusadministration.

CVE-2024-23293: Bistrit Dahal

UIKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis frigøre sig fra sin sandbox

Beskrivelse: Problemet blev løst ved at fjerne den sårbare kode.

CVE-2024-23246: Deutsche Telekom Security GmbH sponsoreret af Bundesamt für Sicherheit in der Informationstechnik

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2024-23226: Pwn2car

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Et skadeligt websted kan føre til cross-origin-eksfiltration af lyddata

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: En webside med skadeligt indhold kan muligvis få adgang til brugerdata

Beskrivelse: Et problem med indsættelse er løst via forbedret godkendelse.

CVE-2024-23280: en anonym programmør

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold med skadelig kode kan forhindre, at sikkerhedspolitikken for indhold bliver håndhævet

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2024-23284: Georg Felber og Marco Squarcina

Yderligere anerkendelser

CoreAnimation

Vi vil gerne takke Junsung Lee for hjælpen.

CoreMotion

Vi vil gerne takke Eric Dorphy fra Twin Cities App Dev LLC for hjælpen.

Find My

Vi vil gerne takke Meng Zhang (鲸落) fra NorthSea for hjælpen.

Kernel

Vi vil gerne takke Tarek Joumaa (@tjkr0wn) for hjælpen.

libxml2

Vi vil gerne takke OSS-Fuzz og Ned Williamson fra Google Project Zero for hjælpen.

libxpc

Vi vil gerne takke Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) og en anonym programmør for hjælpen.

Power Management

Vi vil gerne takke Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd. for hjælpen.

Sandbox

Vi vil gerne takke Zhongquan Li (@Guluisacat) for hjælpen.

Siri

Vi vil gerne takke Bistrit Dahal for hjælpen.

Software Update

Vi vil gerne takke Bin Zhang fra Dublin City University for hjælpen.

WebKit

Vi vil gerne takke Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina og Lorenzo Veronese fra TU Wien for hjælpen.