Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsreleases.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 10.5
Releasedatum: 13 mei 2024
AppleAVD
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan zorgen voor het onverwacht beëindigen van het systeem
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Bijgewerkt op 15 mei 2024
AppleMobileFileIntegrity
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: een probleem is verholpen door verbeterde validatie van omgevingsvariabelen.
CVE-2024-27805: Kirin (@Pwnrin) en 小来来 (@Smi1eSEC)
Toegevoegd op 10 juni 2024
Disk Images
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan bevoegdheden verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27832: een anonieme onderzoeker
Toegevoegd op 10 juni 2024
Foundation
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan bevoegdheden verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27801: CertiK SkyFall Team
Toegevoegd op 10 juni 2024
IOSurface
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) van STAR Labs SG Pte. Ltd.
Toegevoegd op 10 juni 2024
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller die al kernelcode kan uitvoeren, kan mogelijk ook beveiligingsmechanismen van het kernelgeheugen omzeilen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2024-27840: een anonieme onderzoeker
Toegevoegd op 10 juni 2024
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2024-27815: een anonieme onderzoeker en Joseph Ravichandran (@0xjprx) van MIT CSAIL
Toegevoegd op 10 juni 2024
libiconv
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan bevoegdheden verhogen
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-27811: Nick Wellnhofer
Toegevoegd op 10 juni 2024
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller met fysieke toegang kan mogelijk inloggegevens van Mail-accounts lekken
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2024-23251: Gil Pedersen
Toegevoegd op 10 juni 2024
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillig vervaardigd e-mailbericht kan mogelijk FaceTime-oproepen starten zonder toestemming van de gebruiker
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Toegevoegd op 10 juni 2024
Maps
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
CVE-2024-27810: LFY@secsys van Fudan University
Messages
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd e-mailbericht kan leiden tot een denial-of-service
Beschrijving: dit probleem is verholpen door de kwetsbare code te verwijderen.
CVE-2024-27800: Daniel Zajork en Joshua Zajork
Toegevoegd op 10 juni 2024
Phone
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een persoon met fysieke toegang tot een apparaat kan mogelijk contactgegevens vanaf het toegangsscherm bekijken
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
CVE-2024-27814: Dalibor Milanovic
Toegevoegd op 10 juni 2024
RemoteViewServices
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller kan mogelijk toegang krijgen tot gebruikersgegevens
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een opdracht kan mogelijk zonder toestemming gevoelige gebruikersgegevens vrijgeven
Beschrijving: een probleem met verwerking van paden is verholpen door verbeterde validatie.
CVE-2024-27821: Kirin (@Pwnrin), zbleet, en Csaba Fitzl (@theevilbit) van Kandji
Spotlight
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan toegang krijgen tot vertrouwelijke gebruikersgegevens
Beschrijving: dit probleem is verholpen door een verbeterde opschoning van de omgeving.
CVE-2024-27806
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillig vervaardigde webpagina kan mogelijk de vingerafdruk van de gebruiker verkrijgen
Beschrijving: dit probleem is verholpen door extra logica toe te voegen.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos van Mozilla
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard van CISPA Helmholtz Center for Information Security
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde bereikcontroles.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) van het 360 Vulnerability Research Institute
Toegevoegd op 10 juni 2024
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: het probleem is verholpen door verbeterde controles.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 10 juni 2024
WebKit Canvas
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een kwaadwillig vervaardigde webpagina kan mogelijk de vingerafdruk van de gebruiker verkrijgen
Beschrijving: dit probleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) van Crawless en @abrahamjuliot
Toegevoegd op 10 juni 2024
WebKit Web Inspector
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson van underpassapp.com
Toegevoegd op 10 juni 2024
Aanvullende erkenning
App Store
Met dank aan een anonieme onderzoeker voor de hulp.
AppleMobileFileIntegrity
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Toegevoegd op 10 juni 2024
CoreHAP
Met dank aan Adrian Cable voor de hulp.
Disk Images
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Toegevoegd op 10 juni 2024
HearingCore
Met dank aan een anonieme onderzoeker voor de hulp.
ImageIO
Met dank aan een anonieme onderzoeker voor de hulp.
Toegevoegd op 10 juni 2024
Managed Configuration
Met dank aan 遥遥领先 (@晴天组织) voor de hulp.
Siri
Met dank aan Abhay Kailasia (@abhay_kailasia) van Lakshmi Narain College Of Technology Bhopal India voor de hulp.
Toegevoegd op 10 juni 2024
Transparency
Met dank aan Mickey Jin (@patch1t) voor de hulp.
Toegevoegd op 10 juni 2024