Informacije o sigurnosnom sadržaju sustava watchOS 10.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 10.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 10.4

Accessibility

Dostupno za: Apple Watch Series 4 i novije

Učinak: zlonamjerna aplikacija mogla bi imati uvid u korisničke podatke u unosima zapisnika koji se odnose na obavijesti o pristupačnosti

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23291

AppleMobileFileIntegrity

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla dobiti veće ovlasti

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23288: Wojciech Regula (SecuRing (wojciechregula.blog)) i Kirin (@Pwnrin)

CoreBluetooth - LE

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti mikrofonima povezanim Bluetoothom bez dopuštenja korisnika

Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.

CVE-2024-23250: Guilherme Rambo (Best Buddy Apps, rambo.codes)

file

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-48554

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom slike moglo bi doći do izvršavanja proizvoljnog koda.

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2024-23286: Junsung Lee u suradnji s timom projekta Zero Day Initiative (Trend Micro), Amir Bazine i Karsten König (CrowdStrike Counter Adversary Operations), Dohyun Lee (@l33d0hyun) te Lyutoon i Mr.R

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2024-23235

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: slaba točka zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2024-23265: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23225

libxpc

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23278: anonimni istraživač

libxpc

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija će možda moći izvršiti proizvoljni kod iz memorije za testiranje ili s određenim većim ovlastima

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-0258: ali yabuz

MediaRemote

Dostupno za: Apple Watch Series 4 i novije

Učinak: zlonamjerna aplikacija mogla bi pristupiti privatnim podacima

Opis: problem je riješen poboljšanim provjerama.

CVE-2024-23297: scj643

Messages

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s privatnosti riješen je poboljšanim rukovanjem privremenim datotekama.

CVE-2024-23287: Kirin (@Pwnrin)

RTKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići zaštite kernelske memorije. Apple je upoznat s izvješćem o potencijalnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2024-23296

Sandbox

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23239: Mickey Jin (@patch1t)

Sandbox

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2024-23290: Wojciech Reguła (SecuRing) (wojciechregula.blog)

Share Sheet

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem privatnosti riješen je poboljšanim redigiranjem privatnih podataka zapisa.

CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)

Siri

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje privatnih informacija o kalendaru

Opis: problem sa zaključanim zaslonom riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23289: Lewis Hardy

Siri

Dostupno za: Apple Watch Series 4 i novije

Učinak: napadač koji ima fizički pristup mogao bi upotrijebiti Siri za pristup osjetljivim korisničkim podacima

Opis: problem je riješen poboljšanim upravljanjem stanjem.

CVE-2024-23293: Bistrit Dahal

UIKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: problem je riješen uklanjanjem koda sa slabim točkama.

CVE-2024-23246: Deutsche Telekom Security GmbH pod sponzorstvom instituta Bundesamt für Sicherheit in der Informationstechnik

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2024-23226: Pwn2car

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore audiopodataka

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2024-23254: James Lee (@Windowsrcer)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2024-23263: Johan Carlsson (joaxcar)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika

Opis: problem s ubacivanjem riješen je poboljšanom provjerom valjanosti.

CVE-2024-23280: anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2024-23284: Georg Felber i Marco Squarcina

Dodatna zahvala

CoreAnimation

Na pomoći zahvaljujemo Junsungu Leeju.

CoreMotion

Na pomoći zahvaljujemo Ericu Dorphyju (Twin Cities App Dev LLC).

Find My

Na pomoći zahvaljujemo Meng Zhangu (鲸落) (NorthSea).

Kernel

Na pomoći zahvaljujemo Tarku Joumaau (@tjkr0wn).

libxml2

Zahvaljujemo OSS-Fuzzu i Nedu Williamsonu (Google Project Zero) na pomoći.

libxpc

Na pomoći zahvaljujemo Rasmusu Stenu iz tvrtke F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimnom istraživaču.

Power Management

Na pomoći zahvaljujemo Panu ZhenPengu (@Peterpan0927) iz tvrtke STAR Labs SG Pte. Ltd.

Sandbox

Na pomoći zahvaljujemo Zhongquanu Liju (@Guluisacat).

Siri

Na pomoći zahvaljujemo Bistritu Dahalu.

Software Update

Na pomoći zahvaljujemo Binu Zhangu (Dublin City University).

WebKit

Na pomoći zahvaljujemo Nanu Wangu (@eternalsakura13) s instituta 360 Vulnerability Research Institute te Valentinu Dalla Valleu, Pedru Bernardu, Marcu Squarcini i Lorenzu Veroneseu (TU Wien).