Проблеми системи безпеки, які усунено у watchOS 11.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 11.2

APFS

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) і анонімний дослідник

Apple Account

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник із привілейованим положенням у мережі може відстежувати дії користувачів.

Опис: цю проблему вирішено завдяки вдосконаленню обробки протоколів.

CVE-2024-40864: Wojciech Regula із SecuRing (wojciechregula.blog)

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива програма може отримувати доступ до приватної інформації

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54526: Mickey Jin (@patch1t) і Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-54513: анонімний дослідник

Face Gallery

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: системний двійковий файл може використовуватися для ідентифікації облікового запису користувача Apple.

Опис: проблема усунено шляхом видалення відповідних прапорців.

CVE-2024-54512: Bistrit Dahal

FontParser

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

ICU

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-54478: Gary Kwong

ImageIO

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2024-54499: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

ImageIO

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

IOMobileFrameBuffer

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може розкривати дані з пам’яті пошкодженого співпроцесора.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-54517: Ye Zhang (@VAR10CK) із Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) із Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) із Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) із Baidu Security

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54468: анонімний дослідник

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може створити відображення пам’яті лише для читання, у яке можна записувати дані.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2024-54494: sohybbyk

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) із MIT CSAIL

libexpat

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2024-45490

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54514: анонімний дослідник

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

MobileBackup

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (колективна робота Davis Dai, ORAC 落云, Frank Du)

Passkeys

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: функція автозаповнення паролів може заповнювати паролі після невдалої автентифікації

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) із центру C-DAC в місті Тіруванантхапурам (Індія), Rakeshkumar Talaviya, Tomomasa Hiraiwa

QuartzCore

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Safari Private Browsing

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: доступ до вкладок, відкритих у режимі «Приватний перегляд», може бути здійснено без автентифікації.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Vim

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-45306

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka з Google Project Zero

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-54508: linjy із HKUS3Lab та chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2024-54505: Gary Kwong

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong і анонімний дослідник

Додаткова подяка

Bluetooth

Дякуємо за допомогу Sophie Winter.

FaceTime

Дякуємо 椰椰 за допомогу.

Proximity

Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng університету George Mason.

Swift

Дякуємо за допомогу доктору природничих наук доктор природничих наук Корьо.

WebKit

Дякуємо Hafiizh за допомогу.