Проблеми системи безпеки, які усунено у watchOS 11.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 11.2

Дата випуску: 11 грудня 2024 р.

APFS

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему вирішено завдяки вдосконаленню керування станами.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) і анонімний дослідник

Запис додано 27 січня 2025 р.

Apple Account

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник із привілейованим положенням у мережі може відстежувати дії користувачів.

Опис: цю проблему вирішено завдяки вдосконаленню обробки протоколів.

CVE-2024-40864: Wojciech Regula із SecuRing (wojciechregula.blog)

Запис додано 2 квітня 2025 р.

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: шкідлива програма може отримувати доступ до приватної інформації

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54526: Mickey Jin (@patch1t) і Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом усунено за допомогою додаткових обмежень.

CVE-2024-54513: анонімний дослідник

Face Gallery

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: системний двійковий файл може використовуватися для ідентифікації облікового запису користувача Apple.

Опис: проблема усунено шляхом видалення відповідних прапорців.

CVE-2024-54512: Bistrit Dahal

Запис додано 27 січня 2025 р.

FontParser

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в рамках ініціативи Zero Day Initiative

ICU

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему з доступом за межами виділеної пам’яті усунуто завдяки вдосконаленню перевірки меж.

CVE-2024-54478: Gary Kwong

Запис додано 27 січня 2025 р.

ImageIO

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.

Опис: проблему Use-After-Free усунено завдяки вдосконаленню керування пам’яттю.

CVE-2024-54499: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 27 січня 2025 р.

ImageIO

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

IOMobileFrameBuffer

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може розкривати дані з пам’яті пошкодженого співпроцесора.

Опис: проблему вирішено завдяки вдосконаленню перевірки меж.

CVE-2024-54517: Ye Zhang (@VAR10CK) із Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) із Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) із Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) із Baidu Security

Запис додано 27 січня 2025 р.

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54468: анонімний дослідник

Запис додано 27 січня 2025 р.

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може створити відображення пам’яті лише для читання, у яке можна записувати дані.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2024-54494: sohybbyk

Kernel

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) із MIT CSAIL

libexpat

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2024-45490

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54514: анонімний дослідник

libxpc

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

MobileBackup

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: відновлення резервної копії шкідливого файлу може призводити до змінення захищених системних файлів.

Опис: проблему з логікою вирішено завдяки вдосконаленню обробки файлів.

CVE-2024-54525: Andrew James Gonzalez, Dragon Fruit Security (колективна робота Davis Dai, ORAC 落云, Frank Du)

Запис додано 17 березня 2025 р.

Passkeys

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: функція автозаповнення паролів може заповнювати паролі після невдалої автентифікації

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) із центру C-DAC в місті Тіруванантхапурам (Індія), Rakeshkumar Talaviya, Tomomasa Hiraiwa

Запис додано 27 січня 2025 р., оновлено 17 березня 2025 р.

QuartzCore

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка вебконтенту може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54497: анонімний дослідник, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Запис додано 27 січня 2025 р.

Safari Private Browsing

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: доступ до вкладок, відкритих у режимі «Приватний перегляд», може бути здійснено без автентифікації.

Опис: проблему з автентифікацією усунено завдяки поліпшенню керування станами.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

Запис додано 27 січня 2025 р.

SceneKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Vim

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого файлу може призводити до пошкодження динамічної пам’яті.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Докладнішу інформацію про проблему й ідентифікатор CVE-ID наведено на сайті cve.org.

CVE-2024-45306

Запис додано 27 січня 2025 р.

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню перевірок.

WebKit Bugzilla: 278497

CVE-2024-54479: Seunghyun Lee

WebKit Bugzilla: 281912

CVE-2024-54502: Brendon Tiszka з Google Project Zero

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 282180

CVE-2024-54508: linjy із HKUS3Lab та chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

WebKit Bugzilla: 282661

CVE-2024-54505: Gary Kwong

WebKit

Цільові продукти: Apple Watch Series 6 і новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

WebKit Bugzilla: 277967

CVE-2024-54534: Tashita Software Security

WebKit Bugzilla: 282450

CVE-2024-54543: Lukas Bernhard, Gary Kwong і анонімний дослідник

Запис оновлено 27 січня 2025 р.

Додаткова подяка

Bluetooth

Дякуємо за допомогу Sophie Winter.

Запис додано 17 березня 2025 р.

FaceTime

Дякуємо 椰椰 за допомогу.

Proximity

Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng університету George Mason.

Swift

Дякуємо за допомогу доктору природничих наук доктор природничих наук Корьо.

WebKit

Дякуємо Hafiizh за допомогу.

Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.

Дата опублікування: