Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 11.2

В этом документе описаны проблемы системы безопасности, устраняемые в watchOS 11.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Последние выпуски перечислены на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительные сведения см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

watchOS 11.2

Выпущено 11 декабря 2024 г.

APFS

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным пользовательским данным.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) и анонимный исследователь

Запись добавлена 27 января 2025 г.

Apple Account

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может отслеживать действия пользователя.

Описание. Проблема устранена путем улучшения обработки протоколов.

CVE-2024-40864: Wojciech Regula из SecuRing (wojciechregula.blog)

Запись добавлена 2 апреля 2025 г.

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вредоносное приложение может получать доступ к личной информации.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54526: Mickey Jin (@patch1t) и Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения проверок.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема с правами доступа устранена путем добавления дополнительных ограничений.

CVE-2024-54513: анонимный исследователь

Face Gallery

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Системный двоичный файл можно использовать, чтобы опознать по характерным признакам Аккаунт Apple пользователя.

Описание. Проблема устранена путем удаления соответствующих флажков.

CVE-2024-54512: Bistrit Dahal

Запись добавлена 27 января 2025 г.

FontParser

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54486: Hossein Lotfi (@hosselot) из Trend Micro Zero Day Initiative

ICU

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема доступа к данным за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2024-54478: Gary Kwong

Запись добавлена 27 января 2025 г.

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2024-54499: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 27 января 2025 г.

ImageIO

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного изображения может привести к раскрытию памяти процесса.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54500: Junsung Lee в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

IOMobileFrameBuffer

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может раскрывать данные из памяти поврежденного сопроцессора.

Описание. Проблема устранена путем улучшенной проверки границ.

CVE-2024-54517: Ye Zhang (@VAR10CK) из Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) из Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) из Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) из Baidu Security

Запись добавлена 27 января 2025 г.

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54468: анонимный исследователь

Запись добавлена 27 января 2025 г.

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Злоумышленник может создать отображение памяти, доступной только для чтения, в которую будет возможна запись.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2024-54494: sohybbyk

Kernel

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.

Описание. Условие состязания устранено путем улучшения блокировки.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) из MIT CSAIL

libexpat

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы приложения.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительную информацию о проблеме и идентификаторе CVE см. на cve.org.

CVE-2024-45490

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может выходить за границы песочницы.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54514: анонимный исследователь

libxpc

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

MobileBackup

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. При восстановлении вредоносного файла резервной копии возможно изменение защищенных системных файлов.

Описание. Проблема с логикой устранена путем улучшенной обработки файлов.

CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (совместная находка Davis Dai, ORAC 落云 и Frank Du)

Запись добавлена 17 марта 2025 г.

Passkeys

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Поля паролей могут автоматически заполняться после сбоя аутентификации

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) из центра C-DAC в Тируванантапураме (Индия), Rakeshkumar Talaviya, Tomomasa Hiraiwa

Запись добавлена 27 января 2025 г., обновлена 17 марта 2025 г.

QuartzCore

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка веб-контента может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54497: анонимный исследователь в сотрудничестве с Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 27 января 2025 г.

Safari Private Browsing

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Вкладки в режиме «Частный доступ» могут быть доступны без аутентификации.

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Запись добавлена 27 января 2025 г.

SceneKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного файла может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-54501: Michael DePlante (@izobashi) из Trend Micro в рамках программы Zero Day Initiative

Vim

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. При обработке вредоносного файла возможно повреждение динамической памяти.

Описание. Это уязвимость в открытом исходном коде, и программное обеспечение Apple является одним из затронутых проектов. Идентификатор CVE назначен сторонней организацией. Дополнительная информация о проблеме и идентификаторе CVE-ID приведена на сайте cve.org.

CVE-2024-45306

Запись добавлена 27 января 2025 г.

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka из Google Project Zero

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к неожиданному сбою процесса.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy из HKUS3Lab и пользователь chluo из WHUSecLab, Xiangwei Zhang из Tencent Security YUNDING LAB

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Целевые продукты: Apple Watch Series 6 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к повреждению памяти.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong и анонимный исследователь

Запись обновлена 27 января 2025 г.

Дополнительные благодарности

Bluetooth

Выражаем благодарность за помощь Sophie Winter.

Запись добавлена 17 марта 2025 г.

FaceTime

Выражаем благодарность за помощь 椰椰.

Proximity

Выражаем благодарность за помощь Junming C. (@Chapoly1305) и проф. Qiang Zeng из Университета Джорджа Мейсона.

Swift

Выражаем благодарность за помощь Marc Schoenefeld, док. ест. из Корейского университета.

WebKit

Выражаем благодарность за помощь Hafiizh.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: