Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11

В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11

Accessibility

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник с физическим доступом к заблокированному устройству может перехватить управление устройствами поблизости с помощью функций универсального доступа.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44171: Jake Derouin

Game Center

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема с файловым доступом устранена путем улучшенной проверки ввода.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема чтения за границами выделенной области памяти устранена за счет оптимизации проверки ввода.

CVE-2024-27880: Junsung Lee

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка изображения может приводить к отказу в обслуживании.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-44176: dw0r из ZeroPointer Lab в сотрудничестве с компанией Trend Micro в рамках программы Zero Day Initiative, анонимный исследователь

IOSurfaceAccelerator

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-44169: Antonio Zekić

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить несанкционированный доступ к Bluetooth

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) и Mathy Vanhoef

libxml2

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема целочисленного переполнения устранена путем улучшенной проверки ввода.

CVE-2024-44198: пользователь OSS-Fuzz, Ned Williamson из Google Project Zero

mDNSResponder

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать отказ в обслуживании.

Описание. Логическая ошибка устранена путем улучшенной обработки файлов.

CVE-2024-44183: Olivier Levon

Safari

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное веб-содержимое может нарушить политику iframe sandbox.

Описание. Проблема обработки пользовательской схемы URL-адресов решена посредством улучшения проверки ввода.

CVE-2024-44155: Нарендра Бхати (Narendra Bhati), менеджер из Cyber Security At Suma Soft Pvt. Ltd, Пуна (Индия)

SceneKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к неожиданному завершению работы приложения.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.

CVE-2024-44144: 냥냥

Siri

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Проблема конфиденциальности была решена путем переноса важных данных в более защищенное место.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению универсальных межсайтовых сценариев.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-40857: Ron Masas

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. Возникала проблема с перекрестными источниками, связанными с элементами iFrame. Проблема устранена путем улучшения отслеживания источников безопасности.

CVE-2024-44187: Narendra Bhati, руководитель отдела кибербезопасности Suma Soft Pvt. Ltd, Пуна (Индия)

Дополнительные благодарности

Kernel

Выражаем благодарность за помощь Braxton Anderson и Fakhri Zulkifli (@d0lph1n98) из PixiePoint Security.

Maps

Выражаем благодарность за помощь пользователю Kirin (@Pwnrin).

Shortcuts

Выражаем благодарность за помощь Cristian Dinca из Национальной средней школы компьютерных наук Tudor Vianu (Румыния), Jacob Braun и анонимному исследователю.

Siri

Выражаем благодарность за помощь пользователю Abhay Kailasia (@abhay_kailasia) из Технологического колледжа Лакшми Нараина, Rohan Paudel и анонимному исследователю.

Диктофон

Выражаем благодарность за помощь Lisa B.

WebKit

Выражаем благодарность за помощь пользователю Avi Lumelsky из Oligo Security, пользователю Uri Katz из Oligo Security, пользователю Eli Grey (eligrey.com) и пользователю Johan Carlsson (joaxcar).