Om säkerhetsinnehållet i watchOS 10.5
I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 10.5.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste släppen visas på sidan Apples säkerhetssläpp.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan Apples produktsäkerhet.
watchOS 10.5
Släpptes den 13 maj 2024
Apple Neural Engine
Tillgängligt för enheter med Apple Neural Engine: Apple Watch Series 9 och Apple Watch Ultra 2
Effekt: En lokal angripare kan orsaka en oväntad systemavstängning
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-27826: Minghao Lin och Ye Zhang (@VAR10CK) på Baidu Security
Lades till 29 juli 2024
AppleAVD
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan orsaka ett oväntat systemavslut
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)
Uppdaterades 15 maj 2024
AppleMobileFileIntegrity
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare kan kanske komma åt användardata
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-27816: Mickey Jin (@patch1t)
Core Data
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Ett problem åtgärdades med hjälp av förbättrad validering av miljövariabler.
CVE-2024-27805: Kirin (@Pwnrin) och 小来来 (@Smi1eSEC)
Lades till den 10 juni 2024
Disk Images
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan öka behörigheter
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27832: en anonym forskare
Lades till den 10 juni 2024
Foundation
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan öka behörigheter
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27801: CertiK SkyFall Team
Lades till den 10 juni 2024
IOSurface
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-27828: Pan ZhenPeng (@Peterpan0927) på STAR Labs SG Pte. Ltd.
Lades till den 10 juni 2024
Kernel
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kernelns minnesskydd
Beskrivning: Problemet hanterades med förbättrad minneshantering.
CVE-2024-27840: en anonym forskare
Lades till den 10 juni 2024
Kernel
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2024-27815: en anonym forskare och Joseph Ravichandran (@0xjprx) på MIT CSAIL
Lades till den 10 juni 2024
Kernel
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare i behörig nätverksposition kanske kan förfalska nätverkspaket
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2024-27823: Prof. Benny Pinkas på Bar-Ilan University, Prof. Amit Klein på Hebrew University och EP
Lades till 29 juli 2024
libiconv
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan öka behörigheter
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-27811: Nick Wellnhofer
Lades till den 10 juni 2024
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare med fysisk åtkomst kan läcka Mail-inloggningsuppgifter
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2024-23251: Gil Pedersen
Lades till den 10 juni 2024
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En skadlig e-postadress kan starta FaceTime-samtal utan användarens godkännande
Beskrivning: Problemet hanterades med förbättrade kontroller.
CVE-2024-23282: Dohyun Lee (@l33d0hyun)
Lades till den 10 juni 2024
Maps
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan läsa känslig platsinformation
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2024-27810: LFY@secsys på Fudan University
Messages
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av ett skadligt meddelande kan leda till att åtkomst till tjänsten nekas
Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.
CVE-2024-27800: Daniel Zajork och Joshua Zajork
Lades till den 10 juni 2024
Phone
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En person med fysisk åtkomst till en enhet kanske kan visa kontaktuppgifter från låsskärmen
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-2024-27814: Dalibor Milanovic
Lades till den 10 juni 2024
RemoteViewServices
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare kan kanske komma åt användardata
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade kontroller.
CVE-2024-27816: Mickey Jin (@patch1t)
Shortcuts
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Ett kortkommando kan dela ut känsliga användardata utan samtycke
Beskrivning: Ett problem med hantering av sökvägar åtgärdades med hjälp av förbättrad validering.
CVE-2024-27821: Kirin (@Pwnrin), zbleet och Csaba Fitzl (@theevilbit) på Kandji
Spotlight
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kanske kan komma åt känsliga användardata
Beskrivning: Problemet åtgärdades genom förbättrad sanering av miljön.
CVE-2024-27806
Lades till den 10 juni 2024
Transparency
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En app kan komma åt användarkänsliga data
Beskrivning: Problemet hanterades med en ny behörighet.
CVE-2024-27884: Mickey Jin (@patch1t)
Lades till 29 juli 2024
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare med opålitlig läs- och skrivkapacitet kanske kan kringgå pekarautentisering
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) i samarbete med Trend Micros Zero Day Initiative
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En skadlig webbsida kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom utökad logik.
WebKit Bugzilla: 262337
CVE-2024-27838: Emilio Cobos på Mozilla
Lades till den 10 juni 2024
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 268221
CVE-2024-27808: Lukas Bernhard på CISPA Helmholtz Center for Information Security
Lades till den 10 juni 2024
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrade gränskontroller.
WebKit Bugzilla: 272106
CVE-2024-27851: Nan Wang (@eternalsakura13) på 360 Vulnerability Research Institute
Lades till den 10 juni 2024
WebKit
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En angripare med opålitlig läs- och skrivkapacitet kan kringgå pekarautentisering
Beskrivning: Problemet hanterades med förbättrade kontroller.
WebKit Bugzilla: 272750
CVE-2024-27834: Manfred Paul (@_manfp) i samarbete med Trend Micros Zero Day Initiative
Lades till den 10 juni 2024
WebKit Canvas
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: En skadlig webbsida kan ta fingeravtryck på användaren
Beskrivning: Problemet åtgärdades genom förbättrad tillståndshantering.
WebKit Bugzilla: 271159
CVE-2024-27830: Joe Rutkowski (@Joe12387) på Crawless och @abrahamjuliot
Lades till den 10 juni 2024
WebKit Web Inspector
Tillgängligt för: Apple Watch Series 4 och senare
Effekt: Bearbetning av webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Problemet hanterades med förbättrad minneshantering.
WebKit Bugzilla: 270139
CVE-2024-27820: Jeff Johnson på underpassapp.com
Lades till den 10 juni 2024
Ytterligare tack
App Store
Vi vill tacka en anonym forskare för hjälpen.
AppleMobileFileIntegrity
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
Lades till den 10 juni 2024
CoreHAP
Vi vill tacka Adrian Cable för hjälpen.
Disk Images
Vi vill tacka Mickey Jin (@patch1t) för hjälpen.
Lades till den 10 juni 2024
HearingCore
Vi vill tacka en anonym forskare för hjälpen.
ImageIO
Vi vill tacka en anonym forskare för hjälpen.
Lades till den 10 juni 2024
Managed Configuration
Vi vill tacka 遥遥领先 (@晴天组织) för hjälpen.
Siri
Vi vill tacka Abhay Kailasia (@abhay_kailasia) från Lakshmi Narain College Of Technology Bhopal India för hjälpen.
Lades till den 10 juni 2024
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.