Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 10.5
Lansare: 13 mai 2024
AppleAVD
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate cauza închiderea neașteptată a sistemului
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Actualizare intrare: 15 mai 2024
AppleMobileFileIntegrity
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.
CVE-2024-27805: Kirin (@Pwnrin) și 小来来 (@Smi1eSEC)
Adăugare intrare: luni, 10 iunie 2024
Disk Images
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27832: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Foundation
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27801: CertiK SkyFall Team
Adăugare intrare: luni, 10 iunie 2024
IOSurface
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.
Adăugare intrare: luni, 10 iunie 2024
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
CVE-2024-27840: un cercetător anonim
Adăugare intrare: luni, 10 iunie 2024
Kernel
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.
CVE-2024-27815: un cercetător anonim și Joseph Ravichandran (@0xjprx) de la MIT CSAIL
Adăugare intrare: luni, 10 iunie 2024
libiconv
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o aplicație să ridice nivelul privilegiilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-27811: Nick Wellnhofer
Adăugare intrare: luni, 10 iunie 2024
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: Un atacator cu acces fizic ar putea reuși să divulge credențialele contului de e-mail.
Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.
CVE-2024-23251: Gil Pedersen
Adăugare intrare: luni, 10 iunie 2024
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: Un email creat malițios ar putea iniția apeluri FaceTime fără autorizarea utilizatorului.
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Adăugare intrare: luni, 10 iunie 2024
Maps
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate citi informații de localizare sensibile
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-27810: LFY@secsys de la Fudan University
Messages
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.
CVE-2024-27800: Daniel Zajork și Joshua Zajork
Adăugare intrare: luni, 10 iunie 2024
Phone
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un utilizator cu acces fizic la un dispozitiv poate vizualiza informații de contact din ecranul de blocare
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2024-27814: Dalibor Milanovic
Adăugare intrare: luni, 10 iunie 2024
RemoteViewServices
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului
Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2024-27821: Kirin (@Pwnrin), zbleet și Csaba Fitzl (@theevilbit) de la Kandji
Spotlight
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori
Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.
CVE-2024-27806
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu capacitate arbitrară de citire și scriere poate reuși să evite autentificarea pointerilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: Problema a fost rezolvată prin adăugarea unei logici suplimentare.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de la Mozilla
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de la CISPA Helmholtz Center for Information Security
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)
Adăugare intrare: luni, 10 iunie 2024
WebKit
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor
Descriere: problema a fost remediată prin îmbunătățirea verificărilor.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative
Adăugare intrare: luni, 10 iunie 2024
WebKit Canvas
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului
Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de la Crawless și @abrahamjuliot
Adăugare intrare: luni, 10 iunie 2024
WebKit Web Inspector
Disponibilitate: Apple Watch Series 4 și modele ulterioare
Impact: procesarea conținutului web poate cauza executarea de cod arbitrar
Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)
Adăugare intrare: luni, 10 iunie 2024
Alte mențiuni
App Store
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
AppleMobileFileIntegrity
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024
CoreHAP
Dorim să îi mulțumim lui Adrian Cable pentru asistența acordată.
Disk Images
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024
HearingCore
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
ImageIO
Dorim să îi mulțumim unui cercetător anonim pentru asistență.
Adăugare intrare: luni, 10 iunie 2024
Managed Configuration
Dorim să îi mulțumim lui 遥遥领先 (@晴天组织) pentru asistența acordată.
Siri
Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024
Transparency
Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.
Adăugare intrare: luni, 10 iunie 2024