Tietoja watchOS 10.5:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 10.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on lueteltu Applen suojausjulkaisut ‑sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 10.5

Julkaistu 13.5.2024

Apple Neural Engine

Saatavuus: laitteet, joissa on Apple Neural Engine (Apple Watch Series 9 ja Apple Watch Ultra 2).

Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27826: Minghao Lin ja Ye Zhang (@VAR10CK, Baidu Security)

Kohta lisätty 29.7.2024

AppleAVD

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Kohta päivitetty 15.5.2024

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma korjattiin parantamalla ympäristömuuttujien validointia.

CVE-2024-27805: Kirin (@Pwnrin) ja 小来来 (@Smi1eSEC)

Kohta lisätty 10.6.2024

Disk Images

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27832: nimetön tutkija

Kohta lisätty 10.6.2024

Foundation

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27801: CertiK SkyFall Team

Kohta lisätty 10.6.2024

IOSurface

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte.) Ltd.)

Kohta lisätty 10.6.2024

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin suojaukset.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-27840: nimetön tutkija

Kohta lisätty 10.6.2024

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2024-27815: nimetön tutkija ja Joseph Ravichandran (@0xjprx), MIT CSAIL

Kohta lisätty 10.6.2024

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä jäljittelemään verkkopaketteja.

Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2024-27823: professori Benny Pinkas (Bar-Ilan University), professori Amit Klein (Hebrew University) ja EP

Kohta lisätty 29.7.2024

libiconv

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada laajennetut käyttöoikeudet.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-27811: Nick Wellnhofer

Kohta lisätty 10.6.2024

Mail

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, jolla oli fyysinen käyttöoikeus, pystyi vuotamaan Mail-tilien kirjautumistiedot.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2024-23251: Gil Pedersen

Kohta lisätty 10.6.2024

Mail

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallinen sähköposti saattoi pystyä aloittamaan FaceTime-puheluita ilman käyttäjän lupaa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Kohta lisätty 10.6.2024

Maps

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27810: LFY@secsys (Fudan University)

Messages

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen sähköpostiviestin käsittely saattoi johtaa palvelunestoon.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-27800: Daniel Zajork ja Joshua Zajork

Kohta lisätty 10.6.2024

Phone

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: henkilö, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä katsomaan yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-27814: Dalibor Milanovic

Kohta lisätty 10.6.2024

RemoteViewServices

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä saattoi pystyä käyttämään käyttäjätietoja.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: oikotie saattoi lähettää arkaluontoisia käyttäjätietoja ilman suostumusta.

Kuvaus: Polun käsittelyn ongelma ratkaistiin parantamalla validointia.

CVE-2024-27821: Kirin (@Pwnrin), zbleet ja Csaba Fitzl (@theevilbit, Kandji)

Spotlight

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia käyttäjätietoja.

Kuvaus: ongelma on ratkaistu parantamalla ympäristön puhdistamista.

CVE-2024-27806

Kohta lisätty 10.6.2024

Transparency

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: Ongelma on ratkaistu uudella valtuutuksella.

CVE-2024-27884: Mickey Jin (@patch1t)

Kohta lisätty 29.7.2024

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 272750

CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu lisäämällä ylimääräinen logiikka.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos, Mozilla

Kohta lisätty 10.6.2024

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 268221

CVE-2024-27808: Benjamin Ehrfeld (CISPA Helmholtz Center for Information Security)

Kohta lisätty 10.6.2024

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13 / 360 Vulnerability Research Institute)

Kohta lisätty 10.6.2024

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

WebKit Bugzilla: 272750

CVE-2024-27834: Trend Micron Zero Day Initiativen parissa työskentelevä Manfred Paul (@_manfp)

Kohta lisätty 10.6.2024

WebKit Canvas

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallinen verkkosivu pystyi ehkä tallentamaan käyttäjän sormenjäljen.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387), Crawless, ja @abrahamjuliot

Kohta lisätty 10.6.2024

WebKit Web Inspector

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson (underpassapp.com)

Kohta lisätty 10.6.2024

Kiitokset

App Store

Haluamme kiittää avusta nimetöntä tutkijaa.

AppleMobileFileIntegrity

Haluamme kiittää avusta Mickey Jiniä (@patch1t).

Kohta lisätty 10.6.2024

CoreHAP

Haluamme kiittää avusta Adrian Cablea.

Disk Images

Haluamme kiittää avusta Mickey Jiniä (@patch1t).

Kohta lisätty 10.6.2024

HearingCore

Haluamme kiittää avusta nimetöntä tutkijaa.

ImageIO

Haluamme kiittää avusta nimetöntä tutkijaa.

Kohta lisätty 10.6.2024

Managed Configuration

Haluamme kiittää avusta käyttäjää 遥遥领先 (@晴天组织).

Siri

Haluamme kiittää avusta Abhay Kailasiaa (@abhay_kailasia, Lakshmi Narain College of Technology, Bhopal, Intia).

Kohta lisätty 10.6.2024

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: