Informacije o sigurnosnom sadržaju sustava watchOS 10.6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 10.6.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 10.6

AppleMobileFileIntegrity

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem vraćanja na stariju verziju riješen je dodatnim ograničenjima potpisivanja koda.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40799: D4m0n

dyld

Dostupno za: Apple Watch Series 4 i novije

Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-40815: w0wbox

Family Sharing

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: taj je problem riješen poboljšanom zaštitom podataka.

CVE-2024-40795: Csaba Fitzl (@theevilbit) (Kandji)

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: radi se o ranjivosti u otvorenom kodu i Appleov softver je među projektima koji su time pogođeni. CVE-ID je dodijelila treća strana. Više o problemu i CVE-ID-ju saznajte na cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40806: Yisumi

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40777: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i Amir Bazine te Karsten König (CrowdStrike Counter Adversary Operations)

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjerne datoteke može doći do neočekivanog zatvaranja aplikacije

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2024-40784: Junsung Lee u suradnji s projektom Zero Day Initiative (Trend Micro) i korisnikom Gandalf4a

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: lokalni napadač mogao bi odrediti raspored elemenata kernelske memorije

Opis: problem otkrivanja podataka riješen je poboljšanim redigiranjem privatnih podataka za unose u zapisniku.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: lokalni napadač mogao bi uzrokovati neočekivano isključivanje sustava

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40788: Minghao Lin i Jiaxun Zhu (Sveučilište Zhejiang)

libxpc

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem s dozvolom riješen je dodatnim ograničenjima.

CVE-2024-40805

Phone

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.

CVE-2024-40813: Jacob Braun

Sandbox

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-40824: Wojciech Regula (SecuRing) (wojciechregula.blog) i Zhongquan Li (@Guluisacat) (Dawn Security Lab of JingDong)

Shortcuts

Dostupno za: Apple Watch Series 4 i novije

Učinak: prečac bi pomoću određenih radnji mogao upotrijebiti osjetljive podatke bez upita prema korisniku

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40835: anonimni istraživač

CVE-2024-40836: anonimni istraživač

Shortcuts

Dostupno za: Apple Watch Series 4 i novije

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2024-40809: anonimni istraživač

CVE-2024-40812: anonimni istraživač

Shortcuts

Dostupno za: Apple Watch Series 4 i novije

Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja

Opis: ovaj problem riješen je dodavanjem odzivnika za pristanak korisnika.

CVE-2024-40787: anonimni istraživač

Shortcuts

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40818: Bistrit Dahal i Srijan Poudel

Siri

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona

Taj je problem riješen ograničavanjem opcija na zaključanom zaslonu.

CVE-2024-40822: Srijan Poudel

VoiceOver

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač bi mogao vidjeti ograničeni sadržaj na zaključanom zaslonu

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal, Indija)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do neočekivanog rušenja procesa

Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2024-40789: Seunghyun Lee (@0x10n) (KAIST Hacking Lab) u suradnji s projektom Zero Day Initiative (Trend Micro)

Dodatna zahvala

Shortcuts

Na pomoći zahvaljujemo anonimnom istraživaču.