מידע על תוכן האבטחה של watchOS 10.5
מסמך זה מתאר את תוכן האבטחה של watchOS 10.5.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID כאשר הדבר ניתן.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 10.5
הופץ ב-13 במאי 2024
Apple Neural Engine
זמין עבור מכשירים עם Apple Neural Engine: Apple Watch Series 9 ו-Apple Watch Ultra 2
השפעה: תוקף מקומי עלול להצליח לגרום לכיבוי בלתי צפוי של המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27826: Minghao Lin, ו-Ye Zhang (@VAR10CK) מ-Baidu Security
הרשומה נוספה ב‑29 ביולי 2024
AppleAVD
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
הרשומה עודכנה ב‑15 במאי 2024
AppleMobileFileIntegrity
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה טופלה באמצעות אימות משופר של משתני סביבה.
CVE-2024-27805: Kirin (@Pwnrin) ו-小来来 (@Smi1eSEC)
הרשומה נוספה ב-10 ביוני 2024
דמויות כונן
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27832: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Foundation
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27801: CertiK SkyFall Team
הרשומה נוספה ב-10 ביוני 2024
IOSurface
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) מ-STAR Labs SG Pte. Ltd.
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף שכבר הצליח להשיג הפעלת קוד ליבה עלול להצליח לעקוף הגנות של זיכרון ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-27840: חוקר אנונימי
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27815: חוקר אנונימי ו-Joseph Ravichandran (@0xjprx) מ-MIT CSAIL
הרשומה נוספה ב-10 ביוני 2024
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לזייף מנות רשת
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2024-27823: פרופ' בני פנקס מאוניברסיטת בר אילן, פרופ' עמית קליין מהאוניברסיטה העברית ו-EP
הרשומה נוספה ב‑29 ביולי 2024
libiconv
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להעלות את רמת ההרשאות שלו
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-27811: Nick Wellnhofer
הרשומה נוספה ב-10 ביוני 2024
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף בעל גישה פיזית עלול להיות מסוגל להדליף אישורי כניסה לחשבון ביישום 'דואר'
תיאור: בעיית אימות טופלה באמצעות ניהול מצבים משופר.
CVE-2024-23251: Gil Pedersen
הרשומה נוספה ב-10 ביוני 2024
זמין עבור: Apple Watch Series 4 ואילך
השפעה: הודעת דוא"ל בעלת מבנה זדוני עלולה להצליח להפעיל שיחות FaceTime ללא אישור המשתמש
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
הרשומה נוספה ב-10 ביוני 2024
Maps
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27810: LFY@secsys מ-Fudan University
Messages
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.
CVE-2024-27800: Daniel Zajork ו-Joshua Zajork
הרשומה נוספה ב-10 ביוני 2024
Phone
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אדם עם גישה פיזית למכשיר עשוי להצליח להציג פרטים ליצירת קשר ממסך הנעילה
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-27814: Dalibor Milanovic
הרשומה נוספה ב-10 ביוני 2024
RemoteViewServices
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף עלול להצליח לגשת לנתוני משתמש
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
זמין עבור: Apple Watch Series 4 ואילך
השפעה: פעולה של קיצור עלולה להוציא כפלט נתוני משתמש ללא קבלת הסכמה
תיאור: בעיית טיפול בנתיב טופלה באמצעות שיפור האימות.
CVE-2024-27821: Kirin (@Pwnrin), zbleet ו-Csaba Fitzl (@theevilbit) מ-Kandji
Spotlight
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים
תיאור: בעיה זו טופלה באמצעות סניטציה משופרת של הסביבה.
CVE-2024-27806
הרשומה נוספה ב-10 ביוני 2024
Transparency
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיה זו טופלה באמצעות זכאות חדשה.
CVE-2024-27884: Mickey Jin (@patch1t)
הרשומה נוספה ב‑29 ביולי 2024
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: הבעיה טופלה על ידי הוספת לוגיקה.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos מ-Mozilla
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard מ-CISPA Helmholtz Center for Information Security
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) מ-360 Vulnerability Research Institute
הרשומה נוספה ב-10 ביוני 2024
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) בעבודה עם Zero Day Initiative של Trend Micro
הרשומה נוספה ב-10 ביוני 2024
WebKit Canvas
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עמוד אינטרנט בעל מבנה זדוני עלול להיות מסוגל להתחזות למשתמש
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) מ-Crawless ו-@abrahamjuliot
הרשומה נוספה ב-10 ביוני 2024
WebKit Web Inspector
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson מ-underpassapp.com
הרשומה נוספה ב-10 ביוני 2024
תודות נוספות
App Store
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
AppleMobileFileIntegrity
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
CoreHAP
אנחנו מבקשים להודות ל-Adrian Cable על הסיוע.
דמויות כונן
אנחנו מבקשים להודות ל-Mickey Jin (@patch1t) על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
HearingCore
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
ImageIO
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
Managed Configuration
אנחנו מבקשים להודות ל-遥遥领先 (@晴天组织) על הסיוע.
Siri
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India על הסיוע.
הרשומה נוספה ב-10 ביוני 2024
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.