Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 10.5
Julkaistu 13.5.2024
AppleAVD
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Kohta päivitetty 15.5.2024
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.
CVE-2024-27805: Kirin (@Pwnrin) ja 小来来 (@Smi1eSEC)
Kohta lisätty 10.6.2024
Disk Images
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27832: nimetön tutkija
Kohta lisätty 10.6.2024
Foundation
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27801: CertiK SkyFall Team
Kohta lisätty 10.6.2024
IOSurface
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte.) Ltd.)
Kohta lisätty 10.6.2024
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin suojaukset.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2024-27840: nimetön tutkija
Kohta lisätty 10.6.2024
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2024-27815: nimetön tutkija ja Joseph Ravichandran (@0xjprx), MIT CSAIL
Kohta lisätty 10.6.2024
libiconv
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-27811: Nick Wellnhofer
Kohta lisätty 10.6.2024
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: hyökkääjä, jolla oli fyysinen käyttöoikeus, pystyi vuotamaan Mail-tilien kirjautumistiedot.
Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2024-23251: Gil Pedersen
Kohta lisätty 10.6.2024
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallinen sähköposti saattoi pystyä aloittamaan FaceTime-puheluita ilman käyttäjän lupaa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Kohta lisätty 10.6.2024
Maps
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-27810: LFY@secsys (Fudan University)
Messages
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.
Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2024-27800: Daniel Zajork ja Joshua Zajork
Kohta lisätty 10.6.2024
Phone
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä katsomaan yhteystietoja lukitulta näytöltä.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2024-27814: Dalibor Milanovic
Kohta lisätty 10.6.2024
RemoteViewServices
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: oikotie saattoi lähettää arkaluontoisia käyttäjätietoja ilman suostumusta.
Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.
CVE-2024-27821: Kirin (@Pwnrin), zbleet ja Csaba Fitzl (@theevilbit, Kandji)
Spotlight
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.
Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.
CVE-2024-27806
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 272750
CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.
Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos, Mozilla
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 268221
CVE-2024-27808: Benjamin Ehrfeld (CISPA Helmholtz Center for Information Security)
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13 / 360 Vulnerability Research Institute)
Kohta lisätty 10.6.2024
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
WebKit Bugzilla: 272750
CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)
Kohta lisätty 10.6.2024
WebKit Canvas
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.
Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387), Crawless, ja @abrahamjuliot
Kohta lisätty 10.6.2024
WebKit Web Inspector
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Kohta lisätty 10.6.2024
Kiitokset
App Store
Haluamme kiittää avusta nimetöntä tutkijaa.
AppleMobileFileIntegrity
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Kohta lisätty 10.6.2024
CoreHAP
Haluamme kiittää avusta Adrian Cablea.
Disk Images
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Kohta lisätty 10.6.2024
HearingCore
Haluamme kiittää avusta nimetöntä tutkijaa.
ImageIO
Haluamme kiittää avusta nimetöntä tutkijaa.
Kohta lisätty 10.6.2024
Managed Configuration
Haluamme kiittää avusta käyttäjää 遥遥领先 (@晴天组织).
Siri
Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).
Kohta lisätty 10.6.2024
Transparency
Haluamme kiittää avusta Mickey Jiniä (@patch1t).
Kohta lisätty 10.6.2024