Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 10.5
Wydano 13 maja 2024 r.
AppleAVD
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Wpis uaktualniono 15 maja 2024 r.
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania poprawności zmiennych środowiskowych.
CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)
Wpis dodano 10 czerwca 2024 r.
Disk Images
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27832: anonimowy badacz
Wpis dodano 10 czerwca 2024 r.
Foundation
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27801: CertiK SkyFall Team
Wpis dodano 10 czerwca 2024 r.
IOSurface
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.
Wpis dodano 10 czerwca 2024 r.
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki chroniące pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2024-27840: anonimowy badacz
Wpis dodano 10 czerwca 2024 r.
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2024-27815: anonimowy badacz i Joseph Ravichandran (@0xjprx) z MIT CSAIL
Wpis dodano 10 czerwca 2024 r.
libiconv
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-27811: Nick Wellnhofer
Wpis dodano 10 czerwca 2024 r.
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca mająca fizyczny dostęp może być w stanie doprowadzić do wycieku poświadczeń z aplikacji Poczta.
Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.
CVE-2024-23251: Gil Pedersen
Wpis dodano 10 czerwca 2024 r.
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana wiadomość e-mail może być w stanie zainicjować połączenia FaceTime bez autoryzacji użytkownika.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Wpis dodano 10 czerwca 2024 r.
Maps
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2024-27810: LFY@secsys z Fudan University
Messages
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2024-27800: Daniel Zajork i Joshua Zajork
Wpis dodano 10 czerwca 2024 r.
Phone
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może być w stanie wyświetlić informacje kontaktowe z poziomu zablokowanego ekranu.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
CVE-2024-27814: Dalibor Milanovic
Wpis dodano 10 czerwca 2024 r.
RemoteViewServices
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do danych użytkownika.
Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: skrót może wyświetlić poufne dane użytkownika bez jego zgody.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) z Kandji
Spotlight
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.
Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.
CVE-2024-27806
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos z Mozilla
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard z CISPA Helmholtz Center for Information Security
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute
Wpis dodano 10 czerwca 2024 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwy atakujący mający możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).
Opis: ten błąd naprawiono przez ulepszenie sprawdzania.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 czerwca 2024 r.
WebKit Canvas
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.
Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) z Crawless i @abrahamjuliot
Wpis dodano 10 czerwca 2024 r.
WebKit Web Inspector
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson z underpassapp.com
Wpis dodano 10 czerwca 2024 r.
Dodatkowe podziękowania
App Store
Dziękujemy anonimowemu badaczowi za pomoc.
AppleMobileFileIntegrity
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 10 czerwca 2024 r.
CoreHAP
Dziękujemy za udzieloną pomoc: Adrian Cable.
Obrazy dysków
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 10 czerwca 2024 r.
HearingCore
Dziękujemy anonimowemu badaczowi za pomoc.
ImageIO
Dziękujemy anonimowemu badaczowi za pomoc.
Wpis dodano 10 czerwca 2024 r.
Managed Configuration
Dziękujemy za udzieloną pomoc: 遥遥领先 (@晴天组织).
Siri
Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.
Wpis dodano 10 czerwca 2024 r.
Transparency
Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).
Wpis dodano 10 czerwca 2024 r.