Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 10.4
Wydano 7 marca 2024 r.
Accessibility
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwa aplikacja może obserwować dane użytkownika we wpisach dziennika związanych z powiadomieniami o dostępności.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-23291
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-23288: Wojciech Reguła z SecuRing (wojciechregula.blog) i Kirin (@Pwnrin)
CoreBluetooth - LE
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może uzyskać dostęp do mikrofonów podłączonych przez Bluetooth bez zgody użytkownika.
Opis: usunięto błąd dostępu przez poprawienie ograniczeń dostępu.
CVE-2024-23250: Guilherme Rambo z Best Buddy Apps (rambo.codes)
file
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie pliku może doprowadzić do ataku typu „odmowa usługi” lub potencjalnego ujawnienia zawartości pamięci.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-48554
ImageIO
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2024-23286: Junsung Lee w ramach programu Zero Day Initiative firmy Trend Micro, Amir Bazine i Karsten König z CrowdStrike Counter Adversary Operations, Dohyun Lee (@l33d0hyun) oraz Lyutoon i Mr.R
Wpis uaktualniono 31 maja 2024 r.
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: usunięto zjawisko wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2024-23235
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
CVE-2024-23265: Xinru Chi z Pangu Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu jądra może być w stanie ominąć zabezpieczenia pamięci jądra. Apple ma świadomość, że problem mógł być wykorzystywany.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2024-23225
libxpc
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23278: anonimowy badacz
libxpc
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z piaskownicy lub z niektórymi podwyższonymi uprawnieniami.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-0258: ali yabuz
MediaRemote
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwa aplikacja może uzyskać dostęp do prywatnych informacji.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23297: scj643
Messages
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem dotyczący prywatności przez ulepszenie obsługi plików tymczasowych.
CVE-2024-23287: Kirin (@Pwnrin)
RTKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu jądra może być w stanie ominąć zabezpieczenia pamięci jądra. Apple ma świadomość, że problem mógł być wykorzystywany.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2024-23296
Sandbox
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: usunięto zjawisko wyścigu przez poprawienie obsługi stanu.
CVE-2024-23239: Mickey Jin (@patch1t)
Sandbox
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2024-23290: Wojciech Reguła z SecuRing (wojciechregula.blog)
Share Sheet
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: rozwiązano problem z prywatnością przez poprawienie redagowania prywatnych danych we wpisach dziennika.
CVE-2024-23231: Kirin (@Pwnrin) i luckyu (@uuulucky)
Siri
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba z fizycznym dostępem do urządzenia może być w stanie użyć Siri w celu uzyskania dostępu do informacji w kalendarzu prywatnym.
Opis: naprawiono błąd ekranu blokady przez poprawienie procedury zarządzania stanem.
CVE-2024-23289: Lewis Hardy
Siri
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca z fizycznym dostępem może być w stanie użyć Siri w celu uzyskania dostępu do poufnych danych użytkownika
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-23293: Bistrit Dahal
UIKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-23246: Deutsche Telekom Security GmbH sponsorowane przez Bundesamt für Sicherheit in der Informationstechnik
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 259694
CVE-2024-23226: Pwn2car
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana witryna internetowa może skrycie wyprowadzać dane audio między różnymi źródłami.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
WebKit Bugzilla: 263795
CVE-2024-23254: James Lee (@Windowsrcer)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
WebKit Bugzilla: 264811
CVE-2024-23263: Johan Carlsson (joaxcar)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: naprawiono błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności.
WebKit Bugzilla: 266703
CVE-2024-23280: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może uniemożliwić wprowadzenie reguł Content Security Policy.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
WebKit Bugzilla: 267241
CVE-2024-23284: Georg Felber i Marco Squarcina
Dodatkowe podziękowania
CoreAnimation
Dziękujemy za udzieloną pomoc: Junsung Lee.
CoreMotion
Dziękujemy za udzieloną pomoc: Eric Dorphy z Twin Cities App Dev LLC
Find My
Dziękujemy za udzieloną pomoc: Meng Zhang (鲸落) z NorthSea.
Kernel
Dziękujemy za udzieloną pomoc: Tarek Joumaa (@tjkr0wn).
libxml2
Dziękujemy za udzieloną pomoc: OSS-Fuzz i Ned Williamson z Google Project Zero.
libxpc
Dziękujemy za udzieloną pomoc: Rasmus Sten, F-Secure (Mastodon: @pajp@blog.dll.nu) i anonimowy badacz.
Power Management
Dziękujemy za udzieloną pomoc: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Sandbox
Dziękujemy za udzieloną pomoc: Zhongquan Li (@Guluisacat).
Siri
Dziękujemy za udzieloną pomoc: Bistrit Dahal.
Software Update
Dziękujemy za udzieloną pomoc: Bin Zhang z Dublin City University.
WebKit
Dziękujemy za udzieloną pomoc: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute, Valentino Dalla Valle, Pedro Bernardo, Marco Squarcina i Lorenzo Veronese z TU Wien.