Mengenai konten keamanan watchOS 10.5

Dokumen ini menjelaskan konten keamanan watchOS 10.5.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

watchOS 10.5

Apple Neural Engine

Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 9 dan Apple Watch Ultra 2

Dampak: Penyerang lokal mungkin dapat mengakibatkan sistem mati secara tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27826: Minghao Lin, dan Ye Zhang (@VAR10CK) dari Baidu Security

AppleAVD

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat menyebabkan sistem berhenti tiba-tiba

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang mungkin dapat mengakses data pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan validasi variabel lingkungan yang ditingkatkan.

CVE-2024-27805: Kirin (@Pwnrin) dan 小来来 (@Smi1eSEC)

Disk Images

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27832: peneliti anonim

Foundation

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27801: Tim CertiK SkyFall

IOSurface

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) dari STAR Labs SG Pte. Ltd.

Kernel

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati perlindungan memori kernel

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27840: peneliti anonim

Kernel

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.

CVE-2024-27815: peneliti anonim dan Joseph Ravichandran (@0xjprx) dari MIT CSAIL

Kernel

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa mungkin dapat memalsukan paket jaringan

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2024-27823: Prof. Benny Pinkas dari Bar-Ilan University, Prof. Amit Klein dari Hebrew University, dan EP

libiconv

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat meningkatkan hak istimewa

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27811: Nick Wellnhofer

Mail

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang yang memiliki akses fisik mungkin dapat membocorkan kredensial akun Mail

Deskripsi: Masalah autentikasi telah diatasi dengan manajemen kondisi yang ditingkatkan.

CVE-2024-23251: Gil Pedersen

Mail

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Email perusak yang berbahaya mungkin dapat memulai panggilan FaceTime tanpa otorisasi pengguna

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Maps

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat membaca informasi lokasi yang sensitif

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2024-27810: LFY@secsys dari Fudan University

Messages

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan menghapus kode yang rentan.

CVE-2024-27800: Daniel Zajork dan Joshua Zajork

Phone

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Seseorang dengan akses fisik ke perangkat mungkin dapat melihat informasi kontak dari layar terkunci

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-27814: Dalibor Milanovic

RemoteViewServices

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang mungkin dapat mengakses data pengguna

Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Pintasan mungkin memberikan output data rahasia pengguna tanpa izin

Deskripsi: Masalah penanganan jalur telah diatasi melalui validasi yang ditingkatkan.

CVE-2024-27821: Kirin (@Pwnrin), zbleet, dan Csaba Fitzl (@theevilbit) dari Kandji

Spotlight

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan sanitasi lingkungan yang ditingkatkan.

CVE-2024-27806

Transparency

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: App mungkin dapat mengakses data rahasia pengguna

Deskripsi: Masalah ini telah diatasi dengan penetapan hak baru.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27834: Manfred Paul (@_manfp) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Halaman web perusak yang berbahaya mungkin dapat mengidentifikasi pengguna

Deskripsi: Masalah ini telah diatasi dengan menambahkan logika tambahan.

CVE-2024-27838: Emilio Cobos dari Mozilla

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27808: Lukas Bernhard dari CISPA Helmholtz Center for Information Security

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2024-27851: Nan Wang (@eternalsakura13) dari 360 Vulnerability Research Institute

WebKit

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2024-27834: Manfred Paul (@_manfp) yang bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit Canvas

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Halaman web perusak yang berbahaya mungkin dapat mengidentifikasi pengguna

Deskripsi: Masalah ini telah diatasi melalui manajemen status yang ditingkatkan.

CVE-2024-27830: Joe Rutkowski (@Joe12387) dari Crawless dan @abrahamjuliot

WebKit Web Inspector

Tersedia untuk: Apple Watch Series 4 dan versi yang lebih baru

Dampak: Pemrosesan konten web dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2024-27820: Jeff Johnson dari underpassapp.com

Ucapan terima kasih tambahan

App Store

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

AppleMobileFileIntegrity

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

CoreHAP

Kami ingin mengucapkan terima kasih kepada Adrian Cable atas bantuannya.

Disk Images

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) atas bantuannya.

HearingCore

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

ImageIO

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Managed Configuration

Kami ingin mengucapkan terima kasih kepada 遥遥领先 (@晴天组织) atas bantuannya.

Siri

Kami ingin mengucapkan terima kasih kepada Abhay Kailasia (@abhay_kailasia) dari Lakshmi Narain College of Technology Bhopal India atas bantuannya.