A watchOS 11
Ez a dokumentum a watchOS 11 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A közelmúltban megjelent verziók listája megtalálható az Apple biztonsági kiadásait bemutató oldalon.
Ha lehetséges, az Apple biztonsági részlege a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági
watchOS 11
Kiadási dátum: 2024. szeptember 16.
Accessibility
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: A zárolt készülékhez fizikai hozzáféréshez jutó támadók bizonyos esetekben a kisegítő funkciókon keresztül vezérelni tudták a közeli készülékeket.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44171: Jake Derouin
Game Center
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: A bevitel hatékonyabb ellenőrzésével elhárítottunk egy fájleléréssel kapcsolatos hibát.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor váratlan alkalmazásleállásra került sor.
Leírás: Hatékonyabb bemenet-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2024-27880: Junsung Lee
ImageIO
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.
CVE-2024-44176: dw0r (ZeroPointer Lab) a Trend Micro Zero Day Initiative kezdeményezés keretében, valamint egy anonim kutató
IOSurfaceAccelerator
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-44169: Antonio Zekić
Kernel
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások jogosulatlan hozzáférést szerezhettek a Bluetoothhoz.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) és Mathy Vanhoef
libxml2
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor a folyamat váratlanul összeomlott.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2024-44198: OSS-Fuzz, Ned Williamson (Google Project Zero)
mDNSResponder
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Az appok szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb hibakezeléssel elhárítottunk egy logikai problémát.
CVE-2024-44183: Olivier Levon
Siri
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni
Leírás: Elhárítottunk egy adatvédelemmel kapcsolatos problémát azáltal, hogy biztonságosabb helyre helyeztük át a bizalmas adatokat.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
A következőkhöz érhető el: Apple Watch Series 6 és újabb modellek.
Érintett terület: A rosszindulatú webhelyek ki tudtak szivárogtatni adatokat különböző forrásokból.
Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati (kiberbiztonsági menedzser, Suma Soft Pvt. Ltd., Púna, India)
További köszönetnyilvánítás
Kernel
Szeretnénk megköszönni Braxton Anderson, Fakhri Zulkifli (@d0lph1n98, PixiePoint Security) segítségét.
Maps
Köszönjük Kirin (@Pwnrin) segítségét.
Shortcuts
Köszönjük Cristian Dinca (Tudor Vianu National High School of Computer Science, Románia), Jacob Braun és egy anonim kutató segítségét.
Siri
Köszönjük Rohan Paudel és egy anonim kutató segítségét.
Voice Memos
Szeretnénk megköszönni Lisa B segítségét.
WebKit
Szeretnénk megköszönni Avi Lumelsky, Uri Katz, (Oligo Security), Johan Carlsson (joaxcar) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.