Despre conținutul de securitate din watchOS 10.5

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate în pagina Versiuni de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

Lansare: 13 mai 2024

AppleAVD

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate cauza închiderea neașteptată a sistemului

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Actualizare intrare: 15 mai 2024

AppleMobileFileIntegrity

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: a fost rezolvată o problemă prin îmbunătățirea validării variabilelor de mediu.

CVE-2024-27805: Kirin (@Pwnrin) și 小来来 (@Smi1eSEC)

Adăugare intrare: luni, 10 iunie 2024

Disk Images

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27832: un cercetător anonim

Adăugare intrare: luni, 10 iunie 2024

Foundation

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27801: CertiK SkyFall Team

Adăugare intrare: luni, 10 iunie 2024

IOSurface

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) STAR Labs SG Pte. Ltd.

Adăugare intrare: luni, 10 iunie 2024

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator care a obținut deja executarea codului kernel poate reuși să evite protecțiile memoriei kernel

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

CVE-2024-27840: un cercetător anonim

Adăugare intrare: luni, 10 iunie 2024

Kernel

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate să execute cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă legată de scrierea în afara limitelor prin îmbunătățirea validării datelor introduse.

CVE-2024-27815: un cercetător anonim și Joseph Ravichandran (@0xjprx) de la MIT CSAIL

Adăugare intrare: luni, 10 iunie 2024

libiconv

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o aplicație să ridice nivelul privilegiilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-27811: Nick Wellnhofer

Adăugare intrare: luni, 10 iunie 2024

Mail

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: Un atacator cu acces fizic ar putea reuși să divulge credențialele contului de e-mail.

Descriere: a fost rezolvată o problemă de autentificare prin îmbunătățirea gestionării stării.

CVE-2024-23251: Gil Pedersen

Adăugare intrare: luni, 10 iunie 2024

Mail

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: Un email creat malițios ar putea iniția apeluri FaceTime fără autorizarea utilizatorului.

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Adăugare intrare: luni, 10 iunie 2024

Maps

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate citi informații de localizare sensibile

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-27810: LFY@secsys de la Fudan University

Messages

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: această problemă a fost rezolvată prin eliminarea codului vulnerabil.

CVE-2024-27800: Daniel Zajork și Joshua Zajork

Adăugare intrare: luni, 10 iunie 2024

Phone

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un utilizator cu acces fizic la un dispozitiv poate vizualiza informații de contact din ecranul de blocare

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2024-27814: Dalibor Milanovic

Adăugare intrare: luni, 10 iunie 2024

RemoteViewServices

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator poate fi capabil să acceseze date de acces ale utilizatorului

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea verificărilor.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o scurtătură poate fi capabilă să trimită date sensibile despre utilizator fără acordul acestuia

Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.

CVE-2024-27821: Kirin (@Pwnrin), zbleet și Csaba Fitzl (@theevilbit) de la Kandji

Spotlight

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: o aplicație poate fi capabilă să acceseze date sensibile despre utilizatori

Descriere: această problemă a fost rezolvată printr-o igienizare îmbunătățită a mediului.

CVE-2024-27806

Adăugare intrare: luni, 10 iunie 2024

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator cu capacitate arbitrară de citire și scriere poate reuși să evite autentificarea pointerilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului

Descriere: Problema a fost rezolvată prin adăugarea unei logici suplimentare.

WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos de la Mozilla

Adăugare intrare: luni, 10 iunie 2024

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard de la CISPA Helmholtz Center for Information Security

Adăugare intrare: luni, 10 iunie 2024

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea verificării limitelor.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) (360 Vulnerability Research Institute)

Adăugare intrare: luni, 10 iunie 2024

WebKit

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: un atacator cu rea intenție, cu capacitate arbitrară de citire și scriere, poate reuși să evite autentificarea pointerilor

Descriere: problema a fost remediată prin îmbunătățirea verificărilor.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) în colaborare cu Trend Micro Zero Day Initiative

Adăugare intrare: luni, 10 iunie 2024

WebKit Canvas

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: este posibil ca o pagină web creată cu rea intenție să poată crea o reprezentare unică a utilizatorului

Descriere: această problemă a fost rezolvată prin îmbunătățirea gestionării stării.

WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) de la Crawless și @abrahamjuliot

Adăugare intrare: luni, 10 iunie 2024

WebKit Web Inspector

Disponibilitate: Apple Watch Series 4 și modele ulterioare

Impact: procesarea conținutului web poate cauza executarea de cod arbitrar

Descriere: problema a fost remediată prin îmbunătățirea gestionării memoriei.

WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson (underpassapp.com)

Adăugare intrare: luni, 10 iunie 2024

App Store

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

AppleMobileFileIntegrity

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

CoreHAP

Dorim să îi mulțumim lui Adrian Cable pentru asistența acordată.

Disk Images

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

HearingCore

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

ImageIO

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Adăugare intrare: luni, 10 iunie 2024

Managed Configuration

Dorim să îi mulțumim lui 遥遥领先 (@晴天组织) pentru asistența acordată.

Siri

Dorim să îi mulțumim lui Abhay Kailasia (@abhay_kailasia) de la Lakshmi Narain College of Technology Bhopal India pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024

Transparency

Dorim să-i mulțumim lui Mickey Jin (@patch1t) pentru asistența acordată.

Adăugare intrare: luni, 10 iunie 2024