watchOS 11.2のセキュリティコンテンツについて説明します。
Appleでは、ユーザ保護の観点から、調査が終了してパッチやリリースが公開されるまでは、セキュリティ上の問題を公開、説明、または是認いたしません。最新のリリースについては、「Appleのセキュリティリリース」ページに一覧形式でまとめています。
Appleのセキュリティ関連の文書では、可能な場合、脆弱性のCVE-ID に言及しています。
セキュリティについて詳しくは、Apple製品のセキュリティに関するページを参照してください。
2024年12月11日リリース
対象:Apple Watch Series 6以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:ステート管理を改善し、この問題に対処しました。
CVE-2024-54541:Arsenii Kostromin氏(0x3c3e)および匿名の研究者
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:ネットワーク上の特権的な地位を悪用した攻撃者に、ユーザのアクティビティを追跡される可能性がある。
説明:プロトコルの処理を改善することで、この問題に対処しました。
CVE-2024-40864:SecuRingのWojciech Regula氏(wojciechregula.blog)
2025年4月2日に追加
対象:Apple Watch Series 6以降
影響:悪意のあるアプリに、非公開の情報にアクセスされる可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54526:Mickey Jin氏(@patch1t)、Arsenii Kostromin氏(0x3c3e)
対象:Apple Watch Series 6以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:この問題は、チェックを強化することで解決されました。
CVE-2024-54527:Mickey Jin氏(@patch1t)
対象:Apple Watch Series 6以降
影響:アプリが機微なユーザデータにアクセスできる可能性がある。
説明:制限を強化し、アクセス権の問題に対処しました。
CVE-2024-54513:匿名の研究者
対象:Apple Watch Series 6以降
影響:システムバイナリを利用してApple Accountが特定される可能性がある。
説明:関連フラグを削除することで、この問題に対処しました。
CVE-2024-54512:Bistrit Dahal氏
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたフォントを処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54486:Trend Micro Zero Day InitiativeのHossein Lotfi氏(@hosselot)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:配列境界チェック機能を改善することで、領域外アクセスの脆弱性に対処しました。
CVE-2024-54478:Gary Kwong氏
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
説明:メモリ管理を強化し、解放済みメモリ使用(use-after-free)の脆弱性に対処しました。
CVE-2024-54499:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:悪意を持って作成された画像を処理すると、プロセスメモリが漏洩する可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54500:Trend Micro Zero Day Initiativeに協力するJunsung Lee氏
対象:Apple Watch Series 6以降
影響:アプリがコプロセッサメモリを破損できる可能性がある。
説明:配列境界チェック機能を改善することで、この問題に対処しました。
CVE-2024-54517:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54518:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54522:Baidu SecurityのYe Zhang氏(@VAR10CK)
CVE-2024-54523:Baidu SecurityのYe Zhang氏(@VAR10CK)
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54468:匿名の研究者
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:攻撃者が、読み取り専用のメモリマッピングを書き込み可能なものに改ざんできる可能性がある。
説明:検証を追加することで、競合状態に対処しました。
CVE-2024-54494:sohybbyk氏
対象:Apple Watch Series 6以降
影響:アプリが重要なカーネル状態を漏洩させる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-2024-54510:MIT CSAILのJoseph Ravichandran氏(@0xjprx)
対象:Apple Watch Series 6以降
影響:リモートの攻撃者により、アプリを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを確認してください。
CVE-2024-45490
対象:Apple Watch Series 6以降
影響:アプリがサンドボックスを破って外部で実行される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54514:匿名の研究者
対象:Apple Watch Series 6以降
影響:アプリに昇格した権限を取得される可能性がある。
説明:チェックを強化し、ロジックの脆弱性に対処しました。
CVE-2024-44225:风沐云烟氏(@binary_fmyy)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたバックアップファイルを復元すると、保護されているシステムファイルが変更される可能性がある。
説明:ファイル処理を改善し、ロジックの問題に対処しました。
CVE-2024-54525:Andrew James Gonzalez氏、Dragon Fruit Security(Davis Dai氏、ORAC 落云氏、Frank Du氏による共同発見)
2025年3月17日に追加
対象:Apple Watch Series 6以降
影響:認証に失敗した後、「パスワードの自動入力」によってパスワードが入力される可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54530:C-DAC(インド、ティルヴァナンタプラム)のAbhay Kailasia氏(@abhay_kailasia)、Rakeshkumar Talaviya氏、Tomomasa Hiraiwa氏
2025年1月27日に追加、2025年3月17日に更新
対象:Apple Watch Series 6以降
影響:Webコンテンツを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54497:Trend Micro Zero Day Initiativeに協力する匿名の研究者
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:プライベートブラウズのタブに、認証されないままアクセスできる可能性がある。
説明:ステート管理を改善し、認証の脆弱性に対処しました。
CVE-2024-54542:Rei氏(@reizydev)、Kenneth Chew氏
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたファイルを処理すると、サービス運用妨害を受ける可能性がある。
説明:チェックを強化することで、この問題に対処しました。
CVE-2024-54501:Trend Micro Zero Day InitiativeのMichael DePlante氏(@izobashi)
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたファイルを処理すると、ヒープ破損が起きる可能性がある。
説明:これはオープンソースコードにおける脆弱性であり、この脆弱性の影響を受けるプロジェクトにはAppleソフトウェアも含まれます。CVE-IDはサードパーティによって割り当てられました。この問題やCVE-IDについて詳しくは、cve.orgを参照してください。
CVE-2024-45306
2025年1月27日に追加
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:チェックを強化することで、この問題に対処しました。
WebKit Bugzilla:278497
CVE-2024-54479:Seunghyun Lee氏
WebKit Bugzilla:281912
CVE-2024-54502:Google Project ZeroのBrendon Tiszka氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、プロセスが予期せずクラッシュする可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:282180
CVE-2024-54508:HKUS3Labのlinjy氏およびWHUSecLabのchluo氏、Tencent Security YUNDING LABのXiangwei Zhang氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を強化し、型の取り違え(type confusion)の脆弱性に対処しました。
WebKit Bugzilla:282661
CVE-2024-54505:Gary Kwong氏
対象:Apple Watch Series 6以降
影響:悪意を持って作成されたWebコンテンツを処理すると、メモリ破損が起こる可能性がある。
説明:メモリ処理を改善することで、この問題に対処しました。
WebKit Bugzilla:277967
CVE-2024-54534:Tashita Software Security
WebKit Bugzilla:282450
CVE-2024-54543:Lukas Bernhard氏、Gary Kwong氏、および匿名の研究者
2025年1月27日に追加
Sophie Winter氏のご協力に感謝いたします。
2025年3月17日に追加
椰椰 氏のご協力に感謝いたします。
ジョージ・メイソン大学のJunming C.氏(@Chapoly1305)およびQiang Zeng教授のご協力に感謝いたします。
Marc Schoenefeld理学博士のご協力に感謝いたします。
Hafiizh氏のご協力に感謝いたします。