Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 10.5

В этом документе описаны проблемы системы безопасности, устраненные в watchOS 10.5.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Выпуски безопасности Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности продуктов Apple см. на этой странице.

ОС watchOS 10.5;

Выпущено 13 мая 2024 г.

AppleAVD

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может вызвать неожиданное завершение работы системы.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Запись обновлена 15 мая 2024 г.

AppleMobileFileIntegrity

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник может получить доступ к пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшенной проверки переменных среды.

CVE-2024-27805: Kirin (@Pwnrin) и 小来来 (@Smi1eSEC)

Запись добавлена 10 июня 2024 г.

Disk Images

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-27832: анонимный исследователь

Запись добавлена 10 июня 2024 г.

Foundation

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-27801: команда CertiK SkyFall

Запись добавлена 10 июня 2024 г.

IOSurface

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) из STAR Labs SG Pte. Ltd.

Запись добавлена 10 июня 2024 г.

Kernel

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник, который уже добился выполнения кода в ядре, может обойти меры защиты памяти ядра.

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

CVE-2024-27840: анонимный исследователь

Запись добавлена 10 июня 2024 г.

Kernel

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2024-27815: анонимный исследователь и Джозеф Равичандран (Joseph Ravichandran) (@0xjprx) из MIT CSAIL

Запись добавлена 10 июня 2024 г.

libiconv

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может повышать уровень привилегий.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-27811: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 10 июня 2024 г.

Mail

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник с физическим доступом может вызвать утечку учетных данных из приложения «Почта».

Описание. Проблема с аутентификацией устранена путем улучшенного управления состояниями.

CVE-2024-23251: Джил Педерсен (Gil Pedersen)

Запись добавлена 10 июня 2024 г.

Mail

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Вредоносное письмо может инициировать вызовы FaceTime без разрешения пользователя.

Описание. Проблема устранена путем улучшенной проверки.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Запись добавлена 10 июня 2024 г.

Maps

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2024-27810: LFY@secsys из Университета Фудань

Messages

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.

Описание. Проблема решена путем удаления уязвимого кода.

CVE-2024-27800: Дениэл Зайорк (Daniel Zajork) и Джошуа Зайорк (Joshua Zajork)

Запись добавлена 10 июня 2024 г.

Phone

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Лицо с физическим доступом к устройству может просматривать контактную информацию с экрана блокировки.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

CVE-2024-27814: Далибор Миланович (Dalibor Milanovic)

Запись добавлена 10 июня 2024 г.

RemoteViewServices

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник может получить доступ к пользовательским данным.

Описание. Проблема с логикой устранена путем улучшения проверок.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. При использовании сочетания клавиш может происходить вывод конфиденциальных данных без согласия пользователя.

Описание. Проблема с обработкой пути устранена путем улучшенной проверки.

CVE-2024-27821: Kirin (@Pwnrin), zbleet и Csaba Fitzl (@theevilbit) из Kandji

Spotlight

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Приложение может получить доступ к конфиденциальным данным пользователя.

Описание. Проблема устранена путем улучшения очистки среды.

CVE-2024-27806

Запись добавлена 10 июня 2024 г.

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Вредоносный веб-сайт может создавать уникальный образ пользователя.

Описание. Проблема устранена путем добавления дополнительной логики.

WebKit Bugzilla: 262337
CVE-2024-27838: Эмилио Кобос (Emilio Cobos) из Mozilla

Запись добавлена 10 июня 2024 г.

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 268221
CVE-2024-27808: Лукас Бернхард (Lukas Bernhard) из CISPA Helmholtz Center for Information Security

Запись добавлена 10 июня 2024 г.

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема устранена путем улучшенной проверки границ.

WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) из 360 Vulnerability Research Institute

Запись добавлена 10 июня 2024 г.

WebKit

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Злоумышленник с возможностями произвольного чтения и записи может обойти аутентификацию указателей.

Описание. Проблема устранена путем улучшенной проверки.

WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp), сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Запись добавлена 10 июня 2024 г.

WebKit Canvas

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Вредоносный веб-сайт может создавать уникальный образ пользователя.

Описание. Эта проблема устранена путем улучшенного управления состояниями.

WebKit Bugzilla: 271159
CVE-2024-27830: Джо Рутковски (Joe Rutkowski) (@Joe12387) из Crawless и @abrahamjuliot

Запись добавлена 10 июня 2024 г.

WebKit Web Inspector

Целевые продукты: Apple Watch Series 4 и более поздние модели

Воздействие. Обработка веб-содержимого может приводить к выполнению произвольного кода

Описание. Проблема устранена путем улучшения обработки обращений к памяти.

WebKit Bugzilla: 270139
CVE-2024-27820: Джефф Джонсон (Jeff Johnson) из underpassapp.com

Запись добавлена 10 июня 2024 г.

Дополнительные благодарности

App Store

Выражаем благодарность за помощь анонимному исследователю.

AppleMobileFileIntegrity

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Запись добавлена 10 июня 2024 г.

CoreHAP

Выражаем благодарность за помощь пользователю Adrian Cable.

Disk Images

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Запись добавлена 10 июня 2024 г.

HearingCore

Выражаем благодарность за помощь анонимному исследователю.

ImageIO

Выражаем благодарность за помощь анонимному исследователю.

Запись добавлена 10 июня 2024 г.

Managed Configuration

Выражаем благодарность за помощь пользователю 遥遥领先 (@晴天组织)

Siri

Выражаем благодарность за помощь Абхаю Каиласии (Abhay Kailasia) (@abhay_kailasia) из Технологического колледжа Лакшми Нараяна (Бхопал, Индия).

Запись добавлена 10 июня 2024 г.

Transparency

Выражаем благодарность за помощь пользователю Mickey Jin (@patch1t).

Запись добавлена 10 июня 2024 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 14 июня 2024 г.

Эта страница полезна?