關於 watchOS 10.5 的安全性內容

為保障客戶的安全，Apple 在進行調查並提供修補程式或版本之前，不會揭露、討論或確認安全性問題。最新版本列於「Apple 安全性發布」頁面上。

Apple 安全性文件會盡可能以 CVE-ID 參照安全漏洞。

如需安全性的詳細資訊，請參閱 Apple 產品安全性頁面。

2024 年 5 月 13 日發行

AppleAVD

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以導致系統意外終止

說明：改進記憶體處理機制後，已解決此問題。

CVE-2024-27804：Meysam Firouzi（@R00tkitSMM）

2024 年 5 月 15 日更新項目

AppleMobileFileIntegrity

適用於：Apple Watch Series 4 和後續錶款

影響：攻擊者或許可以存取使用者資料

說明：改進檢查機制後，已解決邏輯問題。

CVE-2024-27816：Mickey Jin（@patch1t）

Core Data

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以存取敏感的使用者資料

說明：改進環境變數的驗證機制後，已解決問題。

CVE-2024-27805：Kirin（@Pwnrin）和小來來（@Smi1eSEC）

2024 年 6 月 10 日新增項目

Disk Images

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以提高權限

說明：改進檢查機制後，已解決此問題。

CVE-2024-27832：匿名研究員

2024 年 6 月 10 日新增項目

Foundation

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以提高權限

說明：改進檢查機制後，已解決此問題。

CVE-2024-27801：CertiK SkyFall Team

2024 年 6 月 10 日新增項目

IOSurface

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以利用核心權限執行任何程式碼

說明：改進記憶體處理機制後，已解決此問題。

CVE-2024-27828：STAR Labs SG Pte. Ltd.（@starlabs_sg）的 Pan ZhenPeng（@Peterpan0927）

2024 年 6 月 10 日新增項目

Kernel

適用於：Apple Watch Series 4 和後續錶款

影響：已取得核心程式碼執行權限的攻擊者或許可以規避核心記憶體的防護機制

說明：改進記憶體處理機制後，已解決此問題。

CVE-2024-27840：匿名研究員

2024 年 6 月 10 日新增項目

Kernel

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以利用核心權限執行任何程式碼

說明：改進輸入驗證機制後，已解決超出界限的寫入問題。

CVE-2024-27815：匿名研究員和 MIT CSAIL 的 Joseph Ravichandran（@0xjprx）

2024 年 6 月 10 日新增項目

libiconv

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以提高權限

說明：改進檢查機制後，已解決此問題。

CVE-2024-27811：Nick Wellnhofer

2024 年 6 月 10 日新增項目

Mail

適用於：Apple Watch Series 4 和後續錶款

影響：實際接觸到裝置的攻擊者或許可以洩漏「郵件」帳號憑證

說明：改進狀態管理機制後，已解決認證問題。

CVE-2024-23251：Gil Pedersen

2024 年 6 月 10 日新增項目

Mail

適用於：Apple Watch Series 4 和後續錶款

影響：惡意製作的電子郵件或許可以未經使用者授權即啟動 FaceTime 通話

說明：改進檢查機制後，已解決此問題。

CVE-2024-23282：Dohyun Lee（@l33d0hyun）

2024 年 6 月 10 日新增項目

Maps

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以讀取敏感的位置資訊

說明：改進驗證機制後，已解決路徑處理問題。

CVE-2024-27810：Fudan University 的 LFY@secsys

Messages

適用於：Apple Watch Series 4 和後續錶款

影響：處理惡意製作的訊息可能導致阻斷服務

說明：移除易受攻擊的程式碼後，已解決此問題。

CVE-2024-27800：Daniel Zajork 和 Joshua Zajork

2024 年 6 月 10 日新增項目

Phone

適用於：Apple Watch Series 4 和後續錶款

影響：實際接觸到裝置的人士或許可以從鎖定畫面檢視聯絡人資訊

說明：改進狀態管理機制後，已解決此問題。

CVE-2024-27814：Dalibor Milanovic

2024 年 6 月 10 日新增項目

RemoteViewServices

適用於：Apple Watch Series 4 和後續錶款

影響：攻擊者或許可以存取使用者資料

說明：改進檢查機制後，已解決邏輯問題。

CVE-2024-27816：Mickey Jin（@patch1t）

Shortcuts

適用於：Apple Watch Series 4 和後續錶款

影響：捷徑或許可以在未經同意的情況下輸出敏感的使用者資料

說明：改進驗證機制後，已解決路徑處理問題。

CVE-2024-27821：Kandji 的 Kirin（@Pwnrin）、zbleet 和 Csaba Fitzl（@theevilbit）

Spotlight

適用於：Apple Watch Series 4 和後續錶款

影響：App 或許可以存取敏感的使用者資料

說明：改進環境清理機制後，已解決此問題。

CVE-2024-27806

2024 年 6 月 10 日新增項目

WebKit

適用於：Apple Watch Series 4 和後續錶款

影響：具備任何讀寫能力的攻擊者或許可以規避指標認證

說明：改進檢查機制後，已解決此問題。

WebKit Bugzilla：272750
CVE-2024-27834：Manfred Paul（@_manfp）（與 Trend Micro 的 Zero Day Initiative 合作）

WebKit

適用於：Apple Watch Series 4 和後續錶款

影響：惡意製作的網頁或許可以建立使用者的獨有識別資料

說明：加入其他邏輯後，已解決此問題。

WebKit Bugzilla：262337
CVE-2024-27838：Mozilla 的 Emilio Cobos

2024 年 6 月 10 日新增項目

WebKit

適用於：Apple Watch Series 4 和後續錶款

影響：處理網頁內容可能導致執行任何程式碼

說明：改進記憶體處理機制後，已解決此問題。

WebKit Bugzilla：268221
CVE-2024-27808：CISPA Helmholtz Center for Information Security 的 Lukas Bernhard

2024 年 6 月 10 日新增項目

WebKit

適用於：Apple Watch Series 4 和後續錶款

影響：處理惡意製作的網頁內容可能導致執行任何程式碼

說明：改進界限檢查機制後，已解決此問題。

WebKit Bugzilla：272106
CVE-2024-27851：360 Vulnerability Research Institute 的 Nan Wang（@eternalsakura13）

2024 年 6 月 10 日新增項目

WebKit

適用於：Apple Watch Series 4 和後續錶款

影響：具備任意讀寫能力的惡意攻擊者可能得以規避指標認證

說明：改進檢查機制後，已解決此問題。

WebKit Bugzilla：272750
CVE-2024-27834：Manfred Paul（@_manfp）（與 Trend Micro 的 Zero Day Initiative 合作）

2024 年 6 月 10 日新增項目

WebKit Canvas

適用於：Apple Watch Series 4 和後續錶款

影響：惡意製作的網頁或許可以建立使用者的獨有識別資料

說明：改進狀態管理機制後，已解決此問題。

WebKit Bugzilla：271159
CVE-2024-27830：Crawless 的 Joe Rutkowski（@Joe12387）和 @abrahamjuliot

2024 年 6 月 10 日新增項目

WebKit Web Inspector

適用於：Apple Watch Series 4 和後續錶款

影響：處理網頁內容可能導致執行任何程式碼

說明：改進記憶體處理機制後，已解決此問題。

WebKit Bugzilla：270139
CVE-2024-27820：underpassapp.com 的 Jeff Johnson

2024 年 6 月 10 日新增項目

App Store

我們要感謝匿名研究員提供協助。

AppleMobileFileIntegrity

我們要感謝 Mickey Jin（@patch1t）提供協助。

2024 年 6 月 10 日新增項目

CoreHAP

我們要感謝 Adrian Cable 提供協助。

Disk Images

我們要感謝 Mickey Jin（@patch1t）提供協助。

2024 年 6 月 10 日新增項目

HearingCore

我們要感謝匿名研究員提供協助。

ImageIO

我們要感謝匿名研究員提供協助。

2024 年 6 月 10 日新增項目

Managed Configuration

我們要感謝遥遥领先（@晴天组织）提供協助。

Siri

我們要感謝印度博帕爾 Lakshmi Narain College Of Technology 的 Abhay Kailasia（@abhay_kailasia）提供協助。

2024 年 6 月 10 日新增項目

Transparency

我們要感謝 Mickey Jin（@patch1t）提供協助。

2024 年 6 月 10 日新增項目