Om sikkerhetsinnholdet i watchOS  11.2

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 11.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

watchOS 11.2

APFS

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan kanskje få tilgang til sensitiv brukerinformasjon

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-54541: Arsenii Kostromin (0x3c3e) og en anonym forsker

AppleMobileFileIntegrity

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan få tilgang til privat informasjon

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitive brukerdata

Beskrivelse: Et problem med tillatelser ble løst gjennom ekstra restriksjoner.

CVE-2024-54513: en anonym forsker

Face Gallery

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et systembinærtall kunne brukes til å identifisere Apple-kontoen til en bruker

Beskrivelse: Problemet ble løst ved å fjerne de aktuelle flaggene.

CVE-2024-54512: Bistrit Dahal

FontParser

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54486: Hossein Lotfi (@hosselot) fra Trend Micro Zero Day Initiative

ICU

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-54478: Gary Kwong

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med bruk etter frigjøring ble løst gjennom forbedret minnestyring.

CVE-2024-54499: Anonymous i samarbeid med Trend Micro Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54500: Junsung Lee i samarbeid med Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan skade koprosessorens minne

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2024-54517: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54518: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54522: Ye Zhang (@VAR10CK) fra Baidu Security

CVE-2024-54523: Ye Zhang (@VAR10CK) fra Baidu Security

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54468: en anonym forsker

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper kan være i stand til å opprette en skrivebeskyttet minnetilordning som er skrivbar

Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.

CVE-2024-54494: sohybbyk

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) fra MIT CSAIL

libexpat

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En ekstern bruker kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om dette problemet og CVE-ID-en på cve.org.

CVE-2024-45490

libxpc

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54514: en anonym forsker

libxpc

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et program kan være i stand til å få opphøyde rettigheter

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-44225: 风沐云烟(@binary_fmyy)

Passkeys

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Automatisk utfylling av passord kan fylle ut passord etter mislykket godkjenning

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54530: Abhay Kailasia (@abhay_kailasia) fra C-DAC Thiruvananthapuram India, Rakeshkumar Talaviya

QuartzCore

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av nettinnhold kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54497: Anonymous i samarbeid med Trend Micro Zero Day Initiative

Safari Private Browsing

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Privat nettlesing-faner kan åpnes uten autentisering

Beskrivelse: Et problem med autentisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2024-54542: Rei (@reizydev), Kenneth Chew

SceneKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til tjenestenekt

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54501: Michael DePlante (@izobashi) fra Trend Micro's Zero Day Initiative

Vim

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til skade i heapen

Beskrivelse: Dette er en sårbarhet i åpen kildekode og Apple-programvare er blant de berørte prosjektene. CVE-ID-en ble tildelt av en tredjepart. Finn ut mer om problemet og CVE-ID på cve.org.

CVE-2024-45306

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka fra Google Project Zero

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-54508: linjy fra HKUS3Lab og chluo fra WHUSecLab, Xiangwei Zhang fra Tencent Security YUNDING LAB

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2024-54505: Gary Kwong

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til minnekorrumpering

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-54534: Tashita Software Security

CVE-2024-54543: Lukas Bernhard, Gary Kwong og en anonym forsker

Ytterligere anerkjennelser

FaceTime

Vi vil gjerne takke 椰椰 for hjelpen.

Proximity

Vi vil gjerne takke Junming C. (@Chapoly1305) og Prof. Qiang Zeng fra George Mason University for hjelpen.

Swift

Vi vil gjerne takke Marc Schoenefeld, Dr. rer. nat. for hjelpen.

WebKit

Vi vil gjerne takke Hafiizh for hjelpen.