Проблеми системи безпеки, які усунено в оновленні watchOS 11
У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.
Про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. на сторінці Випуски безпеки Apple.
У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
watchOS 11
Дата випуску: 16 вересня 2024 р.
Accessibility
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: зловмисник із фізичним доступом до заблокованого пристрою може керувати пристроями поблизу за допомогою функцій доступності.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2024-44171: Jake Derouin
Game Center
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з доступом до файлів вирішено завдяки поліпшенню перевірки вводу.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого файлу може призводити до неочікуваного завершення роботи програми.
Опис: проблему читання за межами виділеної пам’яті вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-27880: Junsung Lee
ImageIO
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка зображення може призвести до відмови в обслуговуванні.
Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.
CVE-2024-44176: dw0r із ZeroPointer Lab, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative», і анонімний дослідник
IOSurfaceAccelerator
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може спричинити несподіване завершення роботи системи.
Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.
CVE-2024-44169: Antonio Zekić
Kernel
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримати несанкціонований доступ до Bluetooth.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) і Mathy Vanhoef
libxml2
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебвмісту може призводити до несподіваного аварійного завершення процесу.
Опис: проблему цілочисельного переповнення вирішено завдяки вдосконаленню перевірки вводу.
CVE-2024-44198: користувач OSS-Fuzz і Ned Williamson із підрозділу Google Project Zero
mDNSResponder
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може спричинити відмову в обслуговуванні.
Опис: помилку логіки вирішено завдяки вдосконаленню обробки файлів.
CVE-2024-44183: Olivier Levon
Siri
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: програма може отримувати доступ до конфіденційних даних користувача.
Опис: проблему з приватністю вирішено шляхом переміщення конфіденційних даних у безпечніше розташування.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: обробка шкідливого вебвмісту може призводити до виконання універсальних міжсайтових сценаріїв.
Опис: проблему вирішено завдяки вдосконаленню керування станами.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
Цільові продукти: Apple Watch Series 6 та новіші моделі
Вплив: зловмисний вебсайт може призводити до витоку даних в інший домен.
Опис: виникала проблема з перехресними джерелами, що пов’язані з елементами iFrame. Цю проблему вирішено шляхом удосконаленого відстеження джерел безпеки.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, менеджер із кібербезпеки в Suma Soft Pvt. Ltd., м. Пуне (Індія)
Додаткова подяка
Kernel
Дякуємо за допомогу користувачам Braxton Anderson, Fakhri Zulkifli (@d0lph1n98) із PixiePoint Security.
Maps
Дякуємо за допомогу користувачу Kirin (@Pwnrin).
Shortcuts
Дякуємо за допомогу користувачам Cristian Dinca з Національної вищої школи інформатики Тудора Віану (Румунія), Jacob Braun і анонімному досліднику.
Siri
Дякуємо за допомогу користувачу Rohan Paudel і анонімному досліднику.
Voice Memos
Дякуємо за допомогу користувачу Lisa B.
WebKit
Дякуємо за допомогу користувачам Avi Lumelsky, Uri Katz, (Oligo Security) і Johan Carlsson (joaxcar).
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.