Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
ОС watchOS 10.5;
Выпущено 13 мая 2024 г.
AppleAVD
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может вызвать неожиданное завершение работы системы.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Запись обновлена 15 мая 2024 г.
AppleMobileFileIntegrity
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник может получить доступ к пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшенной проверки переменных среды.
CVE-2024-27805: Kirin (@Pwnrin) и 小来来 (@Smi1eSEC)
Запись добавлена 10 июня 2024 г.
Disk Images
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27832: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Foundation
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27801: команда CertiK SkyFall
Запись добавлена 10 июня 2024 г.
IOSurface
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.
Запись добавлена 10 июня 2024 г.
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2024-27840: анонимный исследователь
Запись добавлена 10 июня 2024 г.
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2024-27815: анонимный исследователь и Джозеф Равичандран (Joseph Ravichandran) (@0xjprx) из MIT CSAIL
Запись добавлена 10 июня 2024 г.
libiconv
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может повышать уровень привилегий.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-27811: Ник Веллнхофер (Nick Wellnhofer)
Запись добавлена 10 июня 2024 г.
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник с физическим доступом может вызвать утечку учетных данных из приложения «Почта».
Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.
CVE-2024-23251: Джил Педерсен (Gil Pedersen)
Запись добавлена 10 июня 2024 г.
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Вредоносное письмо может инициировать вызовы FaceTime без разрешения пользователя.
Описание. Проблема устранена путем улучшенной проверки.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Запись добавлена 10 июня 2024 г.
Maps
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2024-27810: LFY@secsys из Университета Фудань
Messages
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема решена путем удаления уязвимого кода.
CVE-2024-27800: Дениэл Зайорк (Daniel Zajork) и Джошуа Зайорк (Joshua Zajork)
Запись добавлена 10 июня 2024 г.
Phone
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Лицо с физическим доступом к устройству может просматривать контактную информацию с экрана блокировки.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
CVE-2024-27814: Далибор Миланович (Dalibor Milanovic)
Запись добавлена 10 июня 2024 г.
RemoteViewServices
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник может получить доступ к пользовательским данным.
Описание. Проблема с логикой устранена путем улучшения проверок.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. При использовании сочетания клавиш может происходить вывод конфиденциальных данных без согласия пользователя.
Описание. Проблема с обработкой пути устранена путем улучшенной проверки.
CVE-2024-27821: Kirin (@Pwnrin), zbleet и Csaba Fitzl (@theevilbit) из Kandji
Spotlight
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.
Описание. Проблема устранена путем улучшения очистки среды.
CVE-2024-27806
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Вредоносный веб-сайт может создавать уникальный образ пользователя.
Описание. Проблема устранена путем добавления дополнительной логики.
WebKit Bugzilla: 262337
CVE-2024-27838: Эмилио Кобос (Emilio Cobos) из Mozilla
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 268221
CVE-2024-27808: Лукас Бернхард (Lukas Bernhard) из CISPA Helmholtz Center for Information Security
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема устранена путем улучшенной проверки границ.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) из 360 Vulnerability Research Institute
Запись добавлена 10 июня 2024 г.
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.
Описание. Проблема устранена путем улучшенной проверки.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 10 июня 2024 г.
WebKit Canvas
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Вредоносный веб-сайт может создавать уникальный образ пользователя.
Описание. Эта проблема устранена путем улучшенного управления состояниями.
WebKit Bugzilla: 271159
CVE-2024-27830: Джо Рутковски (Joe Rutkowski) (@Joe12387) из Crawless и @abrahamjuliot
Запись добавлена 10 июня 2024 г.
WebKit Web Inspector
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
WebKit Bugzilla: 270139
CVE-2024-27820: Джефф Джонсон (Jeff Johnson) из underpassapp.com
Запись добавлена 10 июня 2024 г.
Дополнительные благодарности
App Store
Выражаем благодарность за помощь анонимному исследователю.
AppleMobileFileIntegrity
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Запись добавлена 10 июня 2024 г.
CoreHAP
Выражаем благодарность за помощь пользователю Adrian Cable.
Disk Images
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Запись добавлена 10 июня 2024 г.
HearingCore
Выражаем благодарность за помощь анонимному исследователю.
ImageIO
Выражаем благодарность за помощь анонимному исследователю.
Запись добавлена 10 июня 2024 г.
Managed Configuration
Выражаем благодарность за помощь пользователю 遥遥领先 (@晴天组织)
Siri
Выражаем благодарность за помощь Абхаю Каиласии (Abhay Kailasia) (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия).
Запись добавлена 10 июня 2024 г.
Transparency
Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).
Запись добавлена 10 июня 2024 г.