Om sikkerhetsinnholdet i watchOS 10.6

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 10.6.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apples sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

watchOS 10.6

AppleMobileFileIntegrity

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et problem med nedgradering ble løst gjennom ekstra kodesigneringsrestriksjoner.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av en app

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40799: D4m0n

dyld

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2024-40815: w0wbox

Family Sharing

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Problemet ble løst med forbedret databeskyttelse.

CVE-2024-40795: Csaba Fitzl (@theevilbit) fra Kandji

ImageIO

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tilordnet av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av en app

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-40806: Yisumi

ImageIO

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av en app

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40777: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative, Amir Bazine og Karsten König fra CrowdStrike Counter Adversary Operations

ImageIO

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av en app

Beskrivelse: En heltallsoverskridelse ble løst med forbedret validering av inndata.

CVE-2024-40784: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative og Gandalf4a

Kernel

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En lokal angriper kan være i stand til å bestemme oppsett av kjerneminne

Beskrivelse: Et problem med informasjonsdeling ble løst gjennom forbedret sensurering av private data i loggoppføringer.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En lokal angriper kan være i stand til å forårsake uventet systemavslutning

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-40788: Minghao Lin og Jiaxun Zhu fra Zhejiang University

libxpc

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-40805

Phone

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En angriper med fysisk tilgang kan bruke Siri til å få tilgang til sensitive brukeropplysninger

Beskrivelse: Et problem med låseskjermen ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-40813: Jacob Braun

Sandbox

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40824: Wojciech Regula fra SecuRing (wojciechregula.blog) og Zhongquan Li (@Guluisacat) fra Dawn Security Lab of JingDong

Shortcuts

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En snarvei kan være i stand til å bruke sensitive opplysninger gjennom visse handlinger uten å spørre brukeren

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40835: en anonym forsker

CVE-2024-40836: en anonym forsker

Shortcuts

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En snarvei kan være i stand til å forbigå krav om internett-tillatelse

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-40809: en anonym forsker

CVE-2024-40812: en anonym forsker

Shortcuts

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En snarvei kan være i stand til å forbigå krav om internett-tillatelse

Beskrivelse: Dette problemet ble løst ved å legge inn en ekstra forespørsel om brukersamtykke.

CVE-2024-40787: en anonym forsker

Shortcuts

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Problemet ble løst ved å fjerne den sårbare koden.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En angriper med fysisk tilgang kan bruke Siri til å få tilgang til sensitive brukeropplysninger

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-40818: Bistrit Dahal og Srijan Poudel

Siri

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En angriper med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Dette problemet ble løst gjennom begrensning av valgene som tilbys på en låst enhet.

CVE-2024-40822: Srijan Poudel

VoiceOver

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En angriper kan se begrenset innhold på låst skjerm

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesskrasj

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-40776: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40782: Maksymilian Motyl

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesskrasj

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2024-40779: Huang Xilin fra Ant Group Light-Year Security Lab

CVE-2024-40780: Huang Xilin fra Ant Group Light-Year Security Lab

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesskrasj

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-40789: Seunghyun Lee (@0x10n) fra KAIST Hacking Lab i samarbeid med Trend Micro Zero Day Initiative

Ytterligere anerkjennelser

Shortcuts

Vi vil gjerne takke en anonym forsker for hjelpen.