Sobre o conteúdo de segurança do watchOS 11

Este documento descreve o conteúdo de segurança do watchOS 11.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que seja conduzida investigação e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página de versões de segurança da Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

Para obter mais informações sobre segurança, consulte a página Segurança do produto Apple.

watchOS 11

Accessibility

Disponível para: Apple Watch Series 6 e posterior

Impacto: um invasor com acesso físico a um dispositivo bloqueado pode ser capaz de controlar dispositivos próximos por meio dos recursos de acessibilidade

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-44171: Jake Derouin

Game Center

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de acesso aos arquivos foi resolvido com a melhoria da validação de entradas.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-27880: Junsung Lee

ImageIO

Disponível para: Apple Watch Series 6 e posterior

Impacto: o processamento de uma imagem pode levar a uma negação de serviço

Descrição: um problema de acesso fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2024-44176: dw0r do ZeroPointer Lab trabalhando com a Trend Micro Zero Day Initiative, pesquisador anônimo

IOSurfaceAccelerator

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode causar o encerramento inesperado do sistema

Descrição: o problema foi resolvido por meio de melhorias no processamento da memória.

CVE-2024-44169: Antonio Zekić

Kernel

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode obter acesso não autorizado ao Bluetooth

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) e Mathy Vanhoef

libxml2

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no processo

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2024-44198: OSS-Fuzz, Ned Williamson do Google Project Zero

mDNSResponder

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode ser capaz de causar uma negação de serviço

Descrição: um erro de lógica foi resolvido com a melhoria do tratamento de erros.

CVE-2024-44183: Olivier Levon

Safari

Disponível para: Apple Watch Series 6 e posterior

Impacto: um conteúdo da web criado com códigos maliciosos pode violar a política de área restrita de iframe

Descrição: um problema de processamento de esquema de URLs personalizados foi resolvido por meio de melhoria na validação de entradas.

CVE-2024-44155: Narendra Bhati, gerente de segurança cibernética na Suma Soft Pvt. Ltd, Pune (Índia)

SceneKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de apps

Descrição: um estouro de buffer foi resolvido por meio de melhorias na validação de tamanho.

CVE-2024-44144: 냥냥

Siri

Disponível para: Apple Watch Series 6 e posterior

Impacto: um app pode conseguir acessar dados confidenciais do usuário

Descrição: um problema de privacidade foi resolvido por meio da migração de dados confidenciais para um local mais seguro.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução universal de scripts entre sites

Descrição: esse problema foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2024-40857: Ron Masas

WebKit

Disponível para: Apple Watch Series 6 e posterior

Impacto: um site malicioso pode extrair dados de origem cruzada

Descrição: havia um problema de origem cruzada em elementos "iframe". Esse problema foi resolvido por meio de melhorias no rastreamento de origens de segurança.

CVE-2024-44187: Narendra Bhati, Gerente da Cyber Security na Suma Soft Pvt. Ltd, Pune (Índia)

Outros reconhecimentos

Kernel

Gostaríamos de agradecer a Braxton Anderson e Fakhri Zulkifli (@d0lph1n98) da PixiePoint Security pela ajuda.

Maps

Gostaríamos de agradecer a Kirin (@Pwnrin) pela ajuda.

Shortcuts

Gostaríamos de agradecer a Cristian Dinca da "Tudor Vianu" National High School of Computer Science, Romênia, Jacob Braun e pesquisador anônimo pela ajuda.

Siri

Gostaríamos de agradecer a Abhay Kailasia (@abhay_kailasia) do Lakshmi Narain College of Technology Bhopal India e a Rohan Paudel, um pesquisador anônimo, pela ajuda.

Voice Memos

Gostaríamos de agradecer a Lisa B pela ajuda.

WebKit

Gostaríamos de agradecer a Avi Lumelsky da Oligo Security, Uri Katz da Oligo Security, Eli Grey (eligrey.com), Johan Carlsson (joaxcar) pela ajuda.