Over de beveiligingsinhoud van watchOS 10.5

In dit document wordt de beveiligingsinhoud van watchOS 10.5 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 10.5

Releasedatum: 13 mei 2024

AppleAVD

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Bijgewerkt op 15 mei 2024

AppleMobileFileIntegrity

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: een probleem is verholpen door verbeterde validatie van omgevingsvariabelen.

CVE-2024-27805: Kirin (@Pwnrin) en 小来来 (@Smi1eSEC)

Toegevoegd op 10 juni 2024

Disk Images

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27832: een anonieme onderzoeker

Toegevoegd op 10 juni 2024

Foundation

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27801: CertiK SkyFall Team

Toegevoegd op 10 juni 2024

IOSurface

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.

Toegevoegd op 10 juni 2024

Kernel

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller die al kernelcode kan uitvoeren, kan mogelijk ook beveiligingsmechanismen van het kernelgeheugen omzeilen

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

CVE-2024-27840: een anonieme onderzoeker

Toegevoegd op 10 juni 2024

Kernel

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.

CVE-2024-27815: een anonieme onderzoeker en Joseph Ravichandran (@0xjprx) van MIT CSAIL

Toegevoegd op 10 juni 2024

libiconv

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan bevoegdheden verhogen

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-27811: Nick Wellnhofer

Toegevoegd op 10 juni 2024

Mail

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller met fysieke toegang kan mogelijk inloggegevens van Mail-accounts lekken

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2024-23251: Gil Pedersen

Toegevoegd op 10 juni 2024

Mail

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een kwaadwillig vervaardigd e-mailbericht kan mogelijk FaceTime-oproepen starten zonder toestemming van de gebruiker

Beschrijving: het probleem is verholpen door verbeterde controles.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Toegevoegd op 10 juni 2024

Maps

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan vertrouwelijke locatiegegevens lezen

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2024-27810: LFY@secsys van Fudan University

Messages

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot een denial-of-service

Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.

CVE-2024-27800: Daniel Zajork en Joshua Zajork

Toegevoegd op 10 juni 2024

Phone

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een persoon met fysieke toegang tot een apparaat kan mogelijk contactgegevens vanaf het toegangsscherm bekijken

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

CVE-2024-27814: Dalibor Milanovic

Toegevoegd op 10 juni 2024

RemoteViewServices

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens

Beschrijving: een logicaprobleem is verholpen door verbeterde controles.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven

Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.

CVE-2024-27821: Kirin (@Pwnrin), zbleet, en Csaba Fitzl (@theevilbit) van Kandji

Spotlight

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens

Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.

CVE-2024-27806

Toegevoegd op 10 juni 2024

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een kwaadwillig vervaardigde webpagina kan mogelijk de vingerafdruk van de gebruiker verkrijgen

Beschrijving: dit probleem is verholpen door extra logica toe te voegen.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos van Mozilla

Toegevoegd op 10 juni 2024

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard van CISPA Helmholtz Center for Information Security

Toegevoegd op 10 juni 2024

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) van het 360 Vulnerability Research Institute

Toegevoegd op 10 juni 2024

WebKit

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: het probleem is verholpen door verbeterde controles.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 10 juni 2024

WebKit Canvas

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: een kwaadwillig vervaardigde webpagina kan mogelijk de vingerafdruk van de gebruiker verkrijgen

Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) van Crawless en @abrahamjuliot

Toegevoegd op 10 juni 2024

WebKit Web Inspector

Beschikbaar voor: Apple Watch Series 4 en nieuwer

Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code

Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson van underpassapp.com

Toegevoegd op 10 juni 2024

Aanvullende erkenning

App Store

Met dank aan een anonieme onderzoeker voor de hulp.

AppleMobileFileIntegrity

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 10 juni 2024

CoreHAP

Met dank aan Adrian Cable voor de hulp.

Disk Images

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 10 juni 2024

HearingCore

Met dank aan een anonieme onderzoeker voor de hulp.

ImageIO

Met dank aan een anonieme onderzoeker voor de hulp.

Toegevoegd op 10 juni 2024

Managed Configuration

Met dank aan 遥遥领先 (@晴天组织) voor de hulp.

Siri

Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.

Toegevoegd op 10 juni 2024

Transparency

Met dank aan Mickey Jin (@patch1t) voor de hulp.

Toegevoegd op 10 juni 2024

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: juni 14, 2024

Nuttig?