Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11
В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
watchOS 11
Дата выпуска: 16 сентября 2024 г.
Accessibility
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может перехватить управление устройствами поблизости с помощью функций универсального доступа.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-44171: Jake Derouin (jakederouin.com)
Запись обновлена 3 марта 2025 г.
Game Center
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема с файловым доступом устранена путем улучшенной проверки ввода.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.
CVE-2024-27880: Junsung Lee
ImageIO
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2024-44176: dw0r из ZeroPointer Lab в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative, анонимный исследователь
IOSurfaceAccelerator
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-44169: Antonio Zekić
Kernel
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить несанкционированный доступ к Bluetooth
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) и Mathy Vanhoef
LaunchServices
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное приложение может вносить изменения в другие приложения, не имея разрешения на управление приложениями.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)
Запись добавлена 3 марта 2025 г.
libxml2
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.
CVE-2024-44198: пользователь OSS-Fuzz, Ned Williamson из Google Project Zero
mDNSResponder
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может вызывать отказ в обслуживании.
Описание. Логическая ошибка устранена путем улучшенной обработки файлов.
CVE-2024-44183: Olivier Levon
Safari
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносное веб-содержимое может нарушить политику iframe sandbox.
Описание. Проблема обработки пользовательской схемы URL-адресов решена посредством улучшения проверки ввода.
CVE-2024-44155: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)
Запись добавлена 28 октября 2024 г.
SceneKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.
Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.
CVE-2024-44144: 냥냥
Запись добавлена 28 октября 2024 г.
Siri
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.
Описание. Проблема конфиденциальности была решена путем переноса важных данных в более защищенное место.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.
Описание. Проблема с управлением файлами cookie устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 287874
CVE-2024-54467: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)
Запись добавлена 3 марта 2025 г.
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 268770
CVE-2024-44192: Tashita Software Security
Запись добавлена 3 марта 2025 г.
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Целевые продукты: Apple Watch Series 6 и более поздние модели
Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.
Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшения отслеживания источников безопасности.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)
Дополнительные благодарности
dyld
Выражаем благодарность за помощь пользователям Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi из Shielder (shielder.com).
Запись добавлена 3 марта 2025 г.
Kernel
Выражаем благодарность за помощь Braxton Anderson и Fakhri Zulkifli (@d0lph1n98) из PixiePoint Security.
Maps
Выражаем благодарность за помощь пользователю Kirin (@Pwnrin).
Photos
Выражаем благодарность за помощь пользователю Junior Vergara.
Запись добавлена 3 марта 2025 г.
Shortcuts
Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu (Румыния), Jacob Braun и анонимному исследователю.
Siri
Выражаем благодарность за помощь Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия), Rohan Paudel и анонимному исследователю.
Запись обновлена 28 октября 2024 г.
Voice Memos
Выражаем благодарность за помощь Lisa B.
WebKit
Выражаем благодарность за помощь Avi Lumelsky из Oligo Security, Uri Katz из Oligo Security, Eli Grey (eligrey.com) и Johan Carlsson (joaxcar).
Запись обновлена 28 октября 2024 г.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.