Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 10.5
Kiadás dátuma: 2024. május 13.
AppleAVD
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Bejegyzés frissítve: 2024. május 15.
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A támadók bizonyos esetekben hozzáférést tudtak szerezni a felhasználói adatokhoz.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti változók validálásának továbbfejlesztésével megoldottuk a problémát.
CVE-2024-27805: Kirin (@Pwnrin) és 小来来 (@Smi1eSEC)
Bejegyzés hozzáadva: 2024. június 10.
Disk Images
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27832: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Foundation
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27801: CertiK SkyFall Team
Bejegyzés hozzáadva: 2024. június 10.
IOSurface
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte.) Ltd.)
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória védelmi funkcióit.
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2024-27840: anonim kutató
Bejegyzés hozzáadva: 2024. június 10.
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2024-27815: egy anonim kutató és Joseph Ravichandran (@0xjprx, MIT CSAIL)
Bejegyzés hozzáadva: 2024. június 10.
libiconv
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-27811: Nick Wellnhofer
Bejegyzés hozzáadva: 2024. június 10.
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A fizikai hozzáféréssel rendelkező támadók bizonyos esetekben kiszivárogtathatták a Mail-fiók hitelesítő adatait.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.
CVE-2024-23251: Gil Pedersen
Bejegyzés hozzáadva: 2024. június 10.
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A rosszindulatú célból létrehozott e-mailek bizonyos esetekben a felhasználó hozzájárulása nélkül indíthattak FaceTime-hívásokat.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Bejegyzés hozzáadva: 2024. június 10.
Maps
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-27810: LFY@secsys (Fudan University)
Messages
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.
Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.
CVE-2024-27800: Daniel Zajork és Joshua Zajork
Bejegyzés hozzáadva: 2024. június 10.
Phone
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktok adataihoz.
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
CVE-2024-27814: Dalibor Milanovic
Bejegyzés hozzáadva: 2024. június 10.
RemoteViewServices
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A támadók bizonyos esetekben hozzáférést tudtak szerezni a felhasználói adatokhoz.
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.
CVE-2024-27821: Kirin (@Pwnrin), zbleet és Fitzl Csaba (@theevilbit) (Kandji)
Spotlight
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.
Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.
CVE-2024-27806
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az olvasási és írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a Mutatóhitelesítést
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát
Leírás: További logika hozzáadásával megoldottuk a problémát.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos (Mozilla)
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute)
Bejegyzés hozzáadva: 2024. június 10.
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében
Bejegyzés hozzáadva: 2024. június 10.
WebKit Canvas
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát
Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387, Crawless) és @abrahamjuliot
Bejegyzés hozzáadva: 2024. június 10.
WebKit Web Inspector
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Bejegyzés hozzáadva: 2024. június 10.
További köszönetnyilvánítás
App Store
Köszönjük egy anonim kutató segítségét.
AppleMobileFileIntegrity
Köszönjük Mickey Jin (@patch1t) segítségét.
Bejegyzés hozzáadva: 2024. június 10.
CoreHAP
Köszönjük Adrian Cable segítségét.
Disk Images
Köszönjük Mickey Jin (@patch1t) segítségét.
Bejegyzés hozzáadva: 2024. június 10.
HearingCore
Köszönjük egy anonim kutató segítségét.
ImageIO
Köszönjük egy anonim kutató segítségét.
Bejegyzés hozzáadva: 2024. június 10.
Managed Configuration
Köszönjük 遥遥领先 (@晴天组织) segítségét.
Siri
Köszönjük Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal India) segítségét.
Bejegyzés hozzáadva: 2024. június 10.
Transparency
Köszönjük Mickey Jin (@patch1t) segítségét.
Bejegyzés hozzáadva: 2024. június 10.