Zawartość związana z zabezpieczeniami w systemie watchOS 10.5

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 10.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 10.5

Apple Neural Engine

Dostępne dla urządzeń z procesorem Apple Neural Engine: zegarków Apple Watch Series 9 i Apple Watch Ultra 2

Zagrożenie: lokalna osoba atakująca może być w stanie spowodować nieoczekiwane zamknięcie systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27826: Minghao Lin i Ye Zhang (@VAR10CK) z Baidu Security

AppleAVD

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

AppleMobileFileIntegrity

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania poprawności zmiennych środowiskowych.

CVE-2024-27805: Kirin (@Pwnrin) i 小来来 (@Smi1eSEC)

Disk Images

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27832: anonimowy badacz

Foundation

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27801: CertiK SkyFall Team

IOSurface

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) ze STAR Labs SG Pte. Ltd.

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba atakująca, która zaimplementowała już wykonywanie kodu jądra, może być w stanie ominąć środki chroniące pamięć jądra.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27840: anonimowy badacz

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2024-27815: anonimowy badacz i Joseph Ravichandran (@0xjprx) z MIT CSAIL

Kernel

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie fałszować pakiety sieciowe.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2024-27823: Prof. Benny Pinkas z Bar-Ilan University, Prof. Amit Klein z Hebrew University i EP

libiconv

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27811: Nick Wellnhofer

Mail

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba atakująca mająca fizyczny dostęp może być w stanie doprowadzić do wycieku poświadczeń z aplikacji Poczta.

Opis: usunięto błąd dotyczący uwierzytelniania przez poprawienie mechanizmu zarządzania stanem.

CVE-2024-23251: Gil Pedersen

Poczta

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: złośliwie spreparowana wiadomość e-mail może być w stanie zainicjować połączenia FaceTime bez autoryzacji użytkownika.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Maps

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2024-27810: LFY@secsys z Fudan University

Messages

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: usunięto błąd przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2024-27800: Daniel Zajork i Joshua Zajork

Phone

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba mająca fizyczny dostęp do urządzenia może być w stanie wyświetlić informacje kontaktowe z poziomu zablokowanego ekranu.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-27814: Dalibor Milanovic

RemoteViewServices

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba atakująca może być w stanie uzyskać dostęp do danych użytkownika.

Opis: naprawiono błąd logiczny przez poprawienie procedur sprawdzania.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: skrót może wyświetlić poufne dane użytkownika bez jego zgody.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2024-27821: Kirin (@Pwnrin), zbleet i Csaba Fitzl (@theevilbit) z Kandji

Spotlight

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono przez poprawienie procedury oczyszczania środowiska.

CVE-2024-27806

Transparency

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: aplikacja może być w stanie uzyskać dostęp do poufnych danych użytkownika.

Opis: ten błąd naprawiono za pomocą nowego uprawnienia.

CVE-2024-27884: Mickey Jin (@patch1t)

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: osoba atakująca mająca możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27834: Manfred Paul (@_manfp) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: ten problem rozwiązano przez dodanie dodatkowych procedur logicznych.

CVE-2024-27838: Emilio Cobos z Mozilla

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27808: Lukas Bernhard z CISPA Helmholtz Center for Information Security

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.

CVE-2024-27851: Nan Wang (@eternalsakura13) z 360 Vulnerability Research Institute

WebKit

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: złośliwy atakujący mający możliwość dowolnego odczytu i zapisu może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).

Opis: ten błąd naprawiono przez ulepszenie sprawdzania.

CVE-2024-27834: Manfred Paul (@_manfp) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit Canvas

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: złośliwie spreparowana strona internetowa może być w stanie wykonać odcisk palca tożsamości użytkownika.

Opis: ten problem rozwiązano przez poprawienie zarządzania stanem.

CVE-2024-27830: Joe Rutkowski (@Joe12387) z Crawless i @abrahamjuliot

WebKit Web Inspector

Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli

Zagrożenie: przetworzenie zawartości internetowej może spowodować wykonanie dowolnego kodu.

Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.

CVE-2024-27820: Jeff Johnson z underpassapp.com

Dodatkowe podziękowania

App Store

Dziękujemy anonimowemu badaczowi za pomoc.

AppleMobileFileIntegrity

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

CoreHAP

Dziękujemy za udzieloną pomoc: Adrian Cable.

Disk Images

Dziękujemy za udzieloną pomoc: Mickey Jin (@patch1t).

HearingCore

Dziękujemy anonimowemu badaczowi za pomoc.

ImageIO

Dziękujemy anonimowemu badaczowi za pomoc.

Managed Configuration

Dziękujemy za udzieloną pomoc: 遥遥领先 (@晴天组织).

Siri

Dziękujemy za udzieloną pomoc: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology Bhopal India.