Over de beveiligingsinhoud van watchOS 10.5
In dit document wordt de beveiligingsinhoud van watchOS 10.5 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 10.5
Releasedatum: 13 mei 2024
Apple Neural Engine
Beschikbaar voor apparaten met Apple Neural Engine: Apple Watch Series 9 en Apple Watch Ultra 2
Impact: een lokale aanvaller kan het systeem onverwacht uitschakelen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27826: Minghao Lin en Ye Zhang (@VAR10CK) van Baidu Security
Toegevoegd op 29 juli 2024
AppleAVD
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Bijgewerkt op 15 mei 2024
AppleMobileFileIntegrity
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een probleem is verholpen door verbeterde validatie van omgevingsvariabelen.
CVE-2024-27805: Kirin (@Pwnrin) en 小来来 (@Smi1eSEC)
Toegevoegd op 10 juni 2024
Disk Images
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk bevoegdheden verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27832: een anonieme onderzoeker
Toegevoegd op 10 juni 2024
Foundation
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk bevoegdheden verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27801: CertiK SkyFall Team
Toegevoegd op 10 juni 2024
IOSurface
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.
Toegevoegd op 10 juni 2024
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller die al kernelcode kan uitvoeren, kan mogelijk ook beveiligingsmechanismen van het kernelgeheugen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27840: een anonieme onderzoeker
Toegevoegd op 10 juni 2024
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2024-27815: een anonieme onderzoeker en Joseph Ravichandran (@0xjprx) van MIT CSAIL
Toegevoegd op 10 juni 2024
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkpakketten vervalsen
Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.
CVE-2024-27823: Prof. Benny Pinkas van Bar-Ilan University, Prof. Amit Klein van Hebrew University, en EP
Toegevoegd op 29 juli 2024
libiconv
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk bevoegdheden verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27811: Nick Wellnhofer
Toegevoegd op 10 juni 2024
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller met fysieke toegang kan mogelijk inloggegevens van Mail-accounts lekken
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2024-23251: Gil Pedersen
Toegevoegd op 10 juni 2024
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillig vervaardigd e-mailbericht kan mogelijk FaceTime-oproepen starten zonder toestemming van de gebruiker
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Toegevoegd op 10 juni 2024
Maps
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
CVE-2024-27810: LFY@secsys van Fudan University
Messages
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot een denial-of-service
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2024-27800: Daniel Zajork en Joshua Zajork
Toegevoegd op 10 juni 2024
Telefoonnummer
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een persoon met fysieke toegang tot een apparaat kan mogelijk contactgegevens vanaf het toegangsscherm bekijken
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-27814: Dalibor Milanovic
Toegevoegd op 10 juni 2024
RemoteViewServices
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
CVE-2024-27821: Kirin (@Pwnrin), zbleet, en Csaba Fitzl (@theevilbit) van Kandji
Spotlight
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.
CVE-2024-27806
Toegevoegd op 10 juni 2024
Transparency
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.
CVE-2024-27884: Mickey Jin (@patch1t)
Toegevoegd op 29 juli 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker
Beschrijving: dit probleem is verholpen door extra logica toe te voegen.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos van Mozilla
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard van CISPA Helmholtz Center for Information Security
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) van het 360 Vulnerability Research Institute
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 10 juni 2024
WebKit Canvas
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillig vervaardigde webpagina heeft mogelijk toegang tot unieke gegevens of de locatie van de gebruiker
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) van Crawless en @abrahamjuliot
Toegevoegd op 10 juni 2024
WebKit Web Inspector
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson van underpassapp.com
Toegevoegd op 10 juni 2024
Aanvullende erkenning
App Store
Met dank aan een anonieme onderzoeker voor de hulp.
AppleMobileFileIntegrity
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Toegevoegd op 10 juni 2024
CoreHAP
Met dank aan Adrian Cable voor de hulp.
Disk Images
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Toegevoegd op 10 juni 2024
HearingCore
Met dank aan een anonieme onderzoeker voor de hulp.
ImageIO
Met dank aan een anonieme onderzoeker voor de hulp.
Toegevoegd op 10 juni 2024
Managed Configuration
Met dank aan 遥遥领先 (@晴天组织) voor de hulp.
Siri
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.
Toegevoegd op 10 juni 2024
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.