À propos des correctifs de sécurité de watchOS 11
Ce document décrit les correctifs de sécurité de watchOS 11.
À propos des mises à jour de sécurité Apple
Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont fournies sur la page Mises à jour de sécurité Apple.
Les documents de sécurité Apple répertorient les vulnérabilités par référence CVE, dans la mesure du possible.
Pour obtenir plus d’informations en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.
watchOS 11
Publié le 16 septembre 2024
Accessibility
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : un attaquant avec accès physique à un appareil verrouillé peut être en mesure de contrôler les appareils à proximité grâce aux fonctionnalités d’accessibilité
Description : ce problème a été résolu par une meilleure gestion des états.
CVE-2024-44171 : Jake Derouin
Game Center
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : une app pourrait accéder à des données sensibles de l’utilisateur.
Description : un problème d’accès aux fichiers a été résolu par une meilleure validation des entrées.
CVE-2024-40850 : Denis Tokarev (@illusionofcha0s)
ImageIO
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : le traitement d’un fichier malveillant peut entraîner l’arrêt inopiné d’apps.
Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.
CVE-2024-27880 : Junsung Lee
ImageIO
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : le traitement d’une image peut entraîner un déni de service.
Description : un problème d’accès hors limites a été résolu par une meilleure vérification des limites.
CVE-2024-44176 : dw0r de ZeroPointer Lab avec l’initiative Trend Micro Zero Day Initiative et un chercheur anonyme
IOSurfaceAccelerator
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : une app peut être en mesure de provoquer l’arrêt inopiné du système
Description : le problème a été résolu par une meilleure gestion de la mémoire.
CVE-2024-44169 : Antonio Zekić
Kernel
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : une application est susceptible d’obtenir un accès non autorisé au Bluetooth.
Description : ce problème a été résolu par une meilleure gestion des états.
CVE-2024-44191 : Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) et Mathy Vanhoef
libxml2
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : le traitement d’un contenu web malveillant peut conduire à un blocage inopiné de processus.
Description : un problème de dépassement d’entier a été résolu par une meilleure validation des entrées.
CVE-2024-44198 : OSS-Fuzz, Ned Williamson de Google Project Zero
mDNSResponder
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : une app pourrait être en mesure de provoquer un déni de service.
Description : une erreur de logique a été résolu par une meilleure gestion des fichiers.
CVE-2024-44183 : Olivier Levon
Siri
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : une app peut accéder à des données sensibles de l’utilisateur.
Description : un problème de confidentialité a été résolu par le déplacement des données sensibles vers un emplacement plus sécurisé.
CVE-2024-44170 : K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : le traitement de contenu web malveillant peut provoquer une injection de code indirect universel.
Description : ce problème a été résolu par une meilleure gestion des états.
WebKit Bugzilla : 268724
CVE-2024-40857 : Ron Masas
WebKit
Disponible pour : Apple Watch Series 6 et modèles ultérieurs
Conséquence : un site web malveillant peut extraire des données provenant d’origines multiples.
Description : un problème d’origines multiples existait au niveau des éléments « iframe ». Ce problème a été résolu par l’amélioration de la fonction de suivi des origines de sécurité.
WebKit Bugzilla : 279452
CVE-2024-44187 : Narendra Bhati, responsable de la cybersécurité de Suma Soft Pvt. Ltd, à Pune (Inde)
Remerciements supplémentaires
Kernel
Nous tenons à remercier Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) de PixiePoint Security pour leur aide.
Maps
Nous tenons à remercier Kirin (@Pwnrin) pour son aide.
Shortcuts
Nous tenons à remercier Cristian Dinca de l’école nationale d’informatique « Tudor Vianu » de Roumanie, Jacob Braun et un chercheur anonyme, pour son aide.
Siri
Nous tenons à remercier Rohan Paudel et un chercheur anonyme pour leur aide.
Voice Memos
Nous tenons à remercier Lisa B pour son aide.
WebKit
Nous tenons à remercier Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) pour leur aide.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.