Om sikkerhetsinnholdet i watchOS 10.5
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 10.5.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 10.5
Utgitt 13. mai 2024
Apple Neural Engine
Tilgjengelig for enheter med Apple Neural Engine: Apple Watch Series 9 og Apple Watch Ultra 2
Virkning: En lokal angriper kan være i stand til å forårsake uventet systemavslutning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27826: Minghao Lin og Ye Zhang (@VAR10CK) fra Baidu Security
Oppføring lagt til 29. juli 2024
AppleAVD
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan forårsake uventet systemavslutning
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Oppføring oppdatert 15. mai 2024
AppleMobileFileIntegrity
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper kan få tilgang til brukerdata
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Et problem ble løst ved å forbedre valideringen av miljøvariabler.
CVE-2024-27805: Kirin (@Pwnrin) og 小来来 (@Smi1eSEC)
Oppføring lagt til 10. juni 2024
Disk Images
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27832: en anonym forsker
Oppføring lagt til 10. juni 2024
Foundation
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27801: CertiK SkyFall Team
Oppføring lagt til 10. juni 2024
IOSurface
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) fra STAR Labs SG Pte. Ltd.
Oppføring lagt til 10. juni 2024
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan forbigå kjerneminnebeskyttelser
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2024-27840: en anonym forsker
Oppføring lagt til 10. juni 2024
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2024-27815: en anonym forsker og Joseph Ravichandran (@0xjprx) fra MIT CSAIL
Oppføring lagt til 10. juni 2024
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper med en nettverksplassering med rettigheter kan være i stand til å forfalske nettverkspakker
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2024-27823: Prof. Benny Pinkas fra Bar-Ilan University, Prof. Amit Klein fra Hebrew University og EP
Oppføring lagt til 29. juli 2024
libiconv
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utvide rettigheter
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-27811: Nick Wellnhofer
Oppføring lagt til 10. juni 2024
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper med fysisk tilgang kan lekke legitimasjon til Mail-kontoer.
Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2024-23251: Gil Pedersen
Oppføring lagt til 10. juni 2024
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En skadelig e-post kan starte FaceTime-samtaler uten brukergodkjenning
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Oppføring lagt til 10. juni 2024
Maps
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2024-27810: LFY@secsys fra Fudan University
Messages
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.
CVE-2024-27800: Daniel Zajork og Joshua Zajork
Oppføring lagt til 10. juni 2024
Phone
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En person med fysisk tilgang til en enhet kan vise kontaktopplysninger fra låseskjermen
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2024-27814: Dalibor Milanovic
Oppføring lagt til 10. juni 2024
RemoteViewServices
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper kan få tilgang til brukerdata
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En snarvei kan dele sensitive brukerdata uten samtykke
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2024-27821: Kirin (@Pwnrin), zbleet og Csaba Fitzl (@theevilbit) fra Kandji
Spotlight
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitive brukerdata
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2024-27806
Oppføring lagt til 10. juni 2024
Transparency
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon
Beskrivelse: Dette problemet ble løst med en ny rettighet.
CVE-2024-27884: Mickey Jin (@patch1t)
Oppføring lagt til 29. juli 2024
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) i samarbeid med Trend Micro's Zero Day Initiative
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Problemet ble løst ved å legge til ytterligere logikk.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos of Mozilla
Oppføring lagt til 10. juni 2024
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard fra CISPA Helmholtz Center for Information Security
Oppføring lagt til 10. juni 2024
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) fra 360 Vulnerability Research Institute
Oppføring lagt til 10. juni 2024
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) i samarbeid med Trend Micro's Zero Day Initiative
Oppføring lagt til 10. juni 2024
WebKit Canvas
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Et skadelig nettsted kan kanskje samle inn identifiserende brukerinformasjon
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) fra Crawless, og @abrahamjuliot
Oppføring lagt til 10. juni 2024
WebKit Web Inspector
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson fra underpassapp.com
Oppføring lagt til 10. juni 2024
Ytterligere anerkjennelser
App Store
Vi vil gjerne takke en anonym forsker for hjelpen.
AppleMobileFileIntegrity
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.
Oppføring lagt til 10. juni 2024
CoreHAP
Vi vil gjerne takke Adrian Cable for hjelpen.
Disk Images
Vi vil gjerne takke Mickey Jin (@patch1t) for hjelpen.
Oppføring lagt til 10. juni 2024
HearingCore
Vi vil gjerne takke en anonym forsker for hjelpen.
ImageIO
Vi vil gjerne takke en anonym forsker for hjelpen.
Oppføring lagt til 10. juni 2024
Managed Configuration
Vi vil gjerne takke 遥遥领先 (@晴天组织) for hjelpen.
Siri
Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal i India for hjelpen.
Oppføring lagt til 10. juni 2024
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.