Obsah zabezpečenia v systéme watchOS 10.6

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 10,6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Aktuálne vydania sú uvedené na stránke Vydania zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení si prečítajte na stránke Zabezpečenie produktov Apple.

watchOS 10,6

Vydané 29. júla 2024

AppleMobileFileIntegrity

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Problém so znížením úrovne bol riešený dodatočnými obmedzeniami pri podpisovaní kódu.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40799: D4m0n

dyld

Dostupné pre: Apple Watch Series 4 a novšie

Dosah: Útočník so zlými úmyslami s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2024-40815: w0wbox

Family Sharing

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná čítať citlivé informácie o polohe

Popis: Tento problém bol vyriešený vylepšením ochrany dát.

CVE-2024-40795: Csaba Fitzl (@theevilbit) z tímu Kandji

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie obrázka môže viesť k odopretiu služby

Popis: Ide o riziko v kóde open source a softvér Apple patrí medzi ovplyvnené projekty. Záznam CVE-ID bol priradený treťou stranou. Viac informácií o probléme a zázname CVE-ID nájdete na lokalite cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40806: Yisumi

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-40777: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Amir Bazine a Karsten König z tímu CrowdStrike Counter Adversary Operations

ImageIO

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2024-40784: Junsung Lee v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Gandalf4a

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Miestny útočník môže byť schopný určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému so zverejnením informácií, ktorý bol vyriešený vylepšením redigovania súkromných dát v položkách záznamov.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Dostupné pre: Apple Watch Series 4 a novšie

Vplyv: Lokálny útočník môže byť schopný spôsobiť neočakávané vypnutie systému

Opis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2024-40788: Minghao Lin a Jiaxun Zhu z univerzity v Če-ťiangu

libxpc

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Dochádzalo k problému s povoleniami, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2024-40805

Phone

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa

Popis: Dochádzalo k problému so zamknutou obrazovkou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2024-40813: Jacob Braun

Sandbox

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Apka môže byť schopná obísť nastavenia súkromia

Popis: Tento problém bol vyriešený vylepšením správy stavu.

CVE-2024-40824: Wojciech Regula z tímu SecuRing (wojciechregula.blog) a Zhongquan Li (@Guluisacat) z tímu Dawn Security Lab of JingDong

Shortcuts

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Skratka môže byť schopná používať pre určité akty citlivé údaje bez zobrazenia výzvy pre používateľa

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-40835: Anonymný výskumník

CVE-2024-40836: Anonymný výskumník

Shortcuts

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Skratka môže byť schopná obísť požiadavky internetových povolení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.

CVE-2024-40809: Anonymný výskumník

CVE-2024-40812: Anonymný výskumník

Shortcuts

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Skratka môže byť schopná obísť požiadavky internetových povolení

Popis: Tento problém bol vyriešený pridaním ďalšej výzvy na získanie súhlasu používateľa.

CVE-2024-40787: Anonymný výskumník

Shortcuts

Dostupné pre: Apple Watch Series 4 a novšie

Dosah: Apka môže byť schopná získať prístup k citlivým používateľským údajom

Popis: Tento problém bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Útočník s fyzickým prístupom môže byť schopný získať prostredníctvom Siri prístup k citlivým údajom používateľa

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2024-40818: Bistrit Dahal a Srijan Poudel

Siri

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Útočník s fyzickým prístupom k zariadeniu môže byť schopný získať prístup ku kontaktom zo zamknutej obrazovky

Popis: Tento problém bol vyriešený obmedzením možností dostupných na zamknutom zariadení.

CVE-2024-40822: Srijan Poudel

VoiceOver

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Útočník môže byť schopný zobraziť obmedzený obsah na zamknutej obrazovke

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia) z Lakshmi Narain College Of Technology v Bhópale v Indii

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s použitím po uvoľnení, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla: 273176

CVE-2024-40776: Huang Xilin z tímu Ant Group Light-Year Security Lab

WebKit Bugzilla: 268770

CVE-2024-40782: Maksymilian Motyl

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

WebKit Bugzilla: 275431

CVE-2024-40779: Huang Xilin z tímu Ant Group Light-Year Security Lab

WebKit Bugzilla: 275273

CVE-2024-40780: Huang Xilin z tímu Ant Group Light-Year Security Lab

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 273805

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Dochádzalo k problému s prístupom k dátam mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2024-40789: Seunghyun Lee (@0x10n) z tímu KAIST Hacking Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu procesu

Popis: Tento problém bol vyriešený vylepšením kontrol.

WebKit Bugzilla: 276097

CVE-2024-44185: Gary Kwong

Dátum pridania záznamu: 15. októbra 2024

WebKit

Dostupné pre: Apple Watch Series 4 a novšie

Dopad: Používateľ môže byť schopný obísť niektoré obmedzenia webového obsahu

Popis: Pri spracúvaní URL protokolov dochádzalo k problému, ktorý bol vyriešený vylepšením logiky.

WebKit Bugzilla: 280765

CVE-2024-44206: Andreas Jaegersberger a Ro Achterberg

Dátum pridania záznamu: 15. októbra 2024

Ďalšie poďakovanie

Shortcuts

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: