Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 10.5
Objavljeno 13. svibnja 2024.
AppleAVD
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Unos je ažuriran 15. svibnja 2024.
AppleMobileFileIntegrity
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen boljom provjerom varijabli u okruženju.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Unos je dodan 10. lipnja 2024.
Disk Images
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27832: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Foundation
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27801: CertiK SkyFall Team
Unos je dodan 10. lipnja 2024.
IOSurface
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) (STAR Labs SG Pte.) Ltd.)
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zaštite kernelske memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2024-27840: anonimni istraživač
Unos je dodan 10. lipnja 2024.
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2024-27815: anonimni istraživač i Joseph Ravichandran (@0xjprx) (MIT CSAIL)
Unos je dodan 10. lipnja 2024.
libiconv
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla dobiti veće ovlasti
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-27811: Nick Wellnhofer
Unos je dodan 10. lipnja 2024.
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač s fizičkim pristupom mogao bi otkriti podatke za pristup računu za Mail
Opis: problem s provjerom autentičnosti riješen je poboljšanim upravljanjem stanjem.
CVE-2024-23251: Gil Pedersen
Unos je dodan 10. lipnja 2024.
Dostupno za: Apple Watch Series 4 i novije
Učinak: zlonamjerni e-mail može pokretati FaceTime pozive bez odobrenja korisnika
Opis: problem je riješen poboljšanim provjerama.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Unos je dodan 10. lipnja 2024.
Maps
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27810: LFY@secsys (Sveučilište Fudan)
Messages
Dostupno za: Apple Watch Series 4 i novije
Učinak: obrada zlonamjerne poruke mogla je dovesti do odbijanja usluge
Opis: problem je riješen uklanjanjem koda sa slabim točkama.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Unos je dodan 10. lipnja 2024.
Phone
Dostupno za: Apple Watch Series 4 i novije
Učinak: osoba s fizičkim pristupom uređaju mogla bi pristupiti kontaktima sa zaključanog zaslona
Opis: problem je riješen poboljšanim upravljanjem stanjem.
CVE-2024-27814: Dalibor Milanovic
Unos je dodan 10. lipnja 2024.
RemoteViewServices
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač bi mogao pristupiti korisničkim podacima
Opis: logički problem riješen je poboljšanim provjerama.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Dostupno za: Apple Watch Series 4 i novije
Učinak: prečac bi mogao pružati osjetljive korisničke podatke bez pristanka
Opis: problem s obradom putova riješen je poboljšanom provjerom valjanosti.
CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) (Kandji)
Spotlight
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla pristupiti osjetljivim korisničkim podacima
Opis: problem je riješen poboljšanom sanacijom okruženja.
CVE-2024-27806
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen dodavanje dodatne logike.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
Unos je dodan 10. lipnja 2024.
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: problem je riješen poboljšanim provjerama.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 10. lipnja 2024.
WebKit Canvas
Dostupno za: Apple Watch Series 4 i novije
Učinak: zlonamjerno izrađena web-stranica mogla bi kreirati okruženje koje imitira radnje korisnika
Opis: problem je riješen poboljšanim upravljanjem stanjem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) (Crawless) i @abrahamjuliot
Unos je dodan 10. lipnja 2024.
WebKit Web Inspector
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim rukovanjem memorijom.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Unos je dodan 10. lipnja 2024.
Dodatna zahvala
App Store
Na pomoći zahvaljujemo anonimnom istraživaču.
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
CoreHAP
Željeli bismo zahvaliti Adrianu Cableu na pomoći.
Disk Images
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.
HearingCore
Na pomoći zahvaljujemo anonimnom istraživaču.
ImageIO
Na pomoći zahvaljujemo anonimnom istraživaču.
Unos je dodan 10. lipnja 2024.
Managed Configuration
Željeli bismo zahvaliti 遥遥领先 (@晴天组织) na pomoći.
Siri
Na pomoći zahvaljujemo Abhayu Kailasiju (@abhay_kailasia) (Lakshmi Narain College of Technology, Bhopal, Indija).
Unos je dodan 10. lipnja 2024.
Transparency
Na pomoći zahvaljujemo Mickeyju Jinu (@patch1t).
Unos je dodan 10. lipnja 2024.