Mengenai konten keamanan watchOS 11.1
Dokumen ini menjelaskan konten keamanan watchOS 11.1.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum di halaman rilis keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 11.1
Dirilis pada 28 Oktober 2024
Accessibility
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Penyerang yang memiliki akses fisik ke perangkat terkunci mungkin dapat melihat informasi rahasia pengguna
Deskripsi: Masalah telah diatasi dengan autentikasi yang ditingkatkan.
CVE-2024-44274: Rizki Maulana (rmrizki.my.id), Matthew Butler, Jake Derouin
App Support
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App yang berbahaya mungkin dapat menjalankan pintasan arbitrer tanpa persetujuan pengguna
Deskripsi: Masalah penanganan jalur telah diatasi melalui logika yang ditingkatkan.
CVE-2024-44255: peneliti anonim
AppleAVD
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Menguraikan file video perusak yang berbahaya dapat mengakibatkan sistem berhenti tiba-tiba
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2024-44232: Ivan Fratric dari Google Project Zero
CVE-2024-44233: Ivan Fratric dari Google Project Zero
CVE-2024-44234: Ivan Fratric dari Google Project Zero
Entri ditambahkan tanggal 01 Nopember 2024
CoreMedia Playback
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App yang berbahaya mungkin dapat mengakses informasi pribadi
Deskripsi: Masalah ini telah diatasi dengan penanganan symlink yang ditingkatkan.
CVE-2024-44273: pattern-f (@pattern_F_), Hikerell dari Loadshine Lab
CoreText
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44240: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
CVE-2024-44302: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
Foundation
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Menguraikan file dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2024-44282: Hossein Lotfi (@hosselot) dari Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Pemrosesan gambar dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44215: Junsung Lee yang bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2024-44297: Jex Amro
IOSurface
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2024-44285: peneliti anonim
Kernel
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App dapat membocorkan status kernel yang bersifat rahasia
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-44239: Mateusz Krzywicki (@krzywix)
Shortcuts
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-44254: Kirin (@Pwnrin)
Shortcuts
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App yang berbahaya dapat menggunakan pintasan untuk mengakses file yang dibatasi
Deskripsi: Masalah logika telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2024-44269: Kirin (@Pwnrin) dan peneliti anonim
Entri diperbarui pada 11 Desember 2024
Siri
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App mungkin dapat mengakses data rahasia pengguna
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-44194: Rodolphe Brunetti (@eisw0lf)
Siri
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App di dalam sandbox mungkin dapat mengakses data rahasia pengguna di log sistem
Deskripsi: Masalah pengungkapan informasi telah diatasi dengan penyamaran data pribadi yang ditingkatkan untuk entri log.
CVE-2024-44278: Kirin (@Pwnrin)
Weather
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: App mungkin dapat menentukan lokasi pengguna saat ini
Deskripsi: Masalah ini telah diatasi dengan penyamaran informasi sensitif yang lebih baik.
CVE-2024-44290: Kirin (@Pwnrin)
Entri ditambahkan pada 11 Desember 2024
WebKit
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Cookie milik satu sumber dapat dikirim ke sumber lain
Deskripsi: Masalah pengelolaan cookie telah diatasi melalui pengelolaan kondisi yang ditingkatkan.
WebKit Bugzilla: 279226
CVE-2024-44212: Wojciech Regula dari SecuRing (wojciechregula.blog)
Entri ditambahkan pada 11 Desember 2024
WebKit
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat membuat Kebijakan Keamanan Konten tidak dapat diberlakukan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
WebKit Bugzilla: 278765
CVE-2024-44296: Narendra Bhati, Manajer Keamanan Siber di Suma Soft Pvt. Ltd, Pune (India)
WebKit
Tersedia untuk: Apple Watch Series 6 dan versi yang lebih baru
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan proses berhenti secara tiba-tiba
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.
WebKit Bugzilla: 279780
CVE-2024-44244: peneliti anonim, Q1IQ (@q1iqF), dan P1umer (@p1umer)
Ucapan terima kasih tambahan
Calculator
Kami ingin mengucapkan terima kasih kepada Kenneth Chew atas bantuannya.
Calendar
Kami ingin mengucapkan terima kasih kepada K宝 (@Pwnrin) atas bantuannya.
ImageIO
Kami ingin mengucapkan terima kasih kepada Amir Bazine dan Karsten König dari CrowdStrike Counter Adversary Operations, peneliti anonim atas bantuannya.
Messages
Kami ingin mengucapkan terima kasih kepada Collin Potter, peneliti anonim atas bantuannya.
NetworkExtension
Kami ingin mengucapkan terima kasih kepada Patrick Wardle dari DoubleYou & the Objective-See Foundation atas bantuannya.
Photos
Kami ingin mengucapkan terima kasih kepada James Robertson atas bantuannya.
Security
Kami ingin mengucapkan terima kasih kepada Bing Shi, Wenchao Li dan Xiaolong Bai dari Alibaba Group, dan Luyi Xing dari Indiana University Bloomington atas bantuannya.
Entri diperbarui pada 11 Desember 2024
Siri
Kami ingin mengucapkan terima kasih kepada Bistrit Dahal atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.