מידע על תוכן האבטחה של watchOS 11.1

מסמך זה מתאר את תוכן האבטחה של watchOS 11.1.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 11.1

Accessibility

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: הבעיה טופלה באמצעות אימות משופר.

CVE-2024-44274‏: Rizki Maulana (rmrizki.my.id)‏, Matthew Butler‏, Jake Derouin

App Support

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום זדוני עלול להצליח להפעיל קיצורי דרך שרירותיים ללא הסכמת המשתמש

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2024-44255: חוקר אנונימי

AppleAVD

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של המערכת

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44232‏: Ivan Fratric מ-Google Project Zero

CVE-2024-44233‏: Ivan Fratric מ-Google Project Zero

CVE-2024-44234‏: Ivan Fratric מ-Google Project Zero

Calendar

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף עם גישה לנתוני לוח שנה יכול לקרוא גם תזכורות

תיאור: בעיית טיפול בנתיב טופלה באמצעות לוגיקה משופרת.

CVE-2024-54535‏: K宝(@Pwnrin)

CoreMedia Playback

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום זדוני עלול להצליח לגשת למידע פרטי

תיאור: בעיה זו טופלה באמצעות טיפול משופר במטה-נתונים של קישורים סימבוליים.

CVE-2024-44273‏: pattern-f (@pattern_F_)‏, Hikerell of Loadshine Lab

CoreText

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44240‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

CVE-2024-44302‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

Foundation

זמין עבור: Apple Watch Series 6 ואילך

השפעה: ניתוח קובץ עלול להוביל לחשיפת מידע של משתמש

תיאור: קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-44282‏: Hossein Lotfi (@hosselot) מ-Trend Micro Zero Day Initiative

ImageIO

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של תמונה עלול לגרום לחשיפה של זיכרון תהליך

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2024-44215‏: Junsung Lee יחד עם Trend Micro Zero Day Initiative

ImageIO

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2024-44297‏: Jex Amro

IOSurface

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

CVE-2024-44285: חוקר אנונימי

Kernel

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש

תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44239‏: Mateusz Krzywicki (@krzywix)‎

Security

זמין עבור: Apple Watch Series 6 ואילך

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2024-54538‏: Bing Shi‏, Wenchao Li ו-Xiaolong Bai מ-Alibaba Group, ו-Luyi Xing מ-Indiana University Bloomington

Shortcuts

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44254‏: Kirin (@Pwnrin)‎

Shortcuts

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום זדוני עלול להשתמש בקיצורי דרך כדי לגשת לקבצים מוגבלים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-44269: ‏Kirin‏ (‎@Pwnrin) וחוקר אנונימי

Siri

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44194‏: Rodolphe Brunetti (@eisw0lf)‎

Siri

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום בארגז חול עלול לגשת לנתוני משתמש רגישים ביומני המערכת

תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-44278‏: Kirin (@Pwnrin)‎

Weather

זמין עבור: Apple Watch Series 6 ואילך

השפעה: יישום עלול להצליח לזהות את המיקום הנוכחי של המשתמש

תיאור: בעיה זו טופלה על ידי עריכה משופרת של מידע רגיש.

CVE-2024-44290: ‏Kirin‏ (‎@Pwnrin)

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: קובצי Cookie השייכים למקור אחד עלולים להישלח למקור אחר

תיאור: בעיה של ניהול קובצי Cookie טופלה באמצעות ניהול מצבים משופר.

CVE-2024-44212: ‏Wojciech Regula מ-SecuRing‏ (wojciechregula.blog)

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול למנוע אכיפה של מדיניות אבטחת תוכן

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-44296‏: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt.‎ Ltd, פונה (הודו)

WebKit

זמין עבור: Apple Watch Series 6 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2024-44244: חוקר אנונימי, Q1IQ ‏(‎@q1iqF) ו-P1umer ‏(‎@p1umer)

תודות נוספות

Calculator

אנחנו מבקשים להודות ל-Kenneth Chew על הסיוע.

Calendar

אנחנו מבקשים להודות ל-K宝‏ (‎@Pwnrin) על הסיוע.

ImageIO

אנחנו מבקשים להודות ל-Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations, חוקר אנונימי על הסיוע.

Messages

אנחנו מבקשים להודות ל-Collin Potter, חוקר אנונימי על הסיוע.

NetworkExtension

אנחנו מבקשים להודות ל-Patrick Wardle מ-DoubleYou & the Objective-See Foundation על הסיוע.

Photos

אנחנו מבקשים להודות ל-James Robertson על הסיוע.

Siri

אנחנו מבקשים להודות ל-Bistrit Dahal על הסיוע.