A watchOS 10.5 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 10.5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 10.5

Kiadás dátuma: 2024. május 13.

Apple Neural Engine

Az Apple Neural Engine-t támogató következő eszközökhöz érhető el: Apple Watch Series 9 és Apple Watch Ultra 2

Érintett terület: A helyi támadó váratlan rendszerleállást tudott előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27826: Minghao Lin és Ye Zhang (@VAR10CK, Baidu Security)

Bejegyzés hozzáadva: 2024. július 29.

AppleAVD

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások bizonyos esetekben váratlan rendszerleállást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27804: Meysam Firouzi (@R00tkitSMM)

Bejegyzés frissítve: 2024. május 15.

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A támadók bizonyos esetekben hozzáférést tudtak szerezni a felhasználói adatokhoz.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-27816: Mickey Jin (@patch1t)

Core Data

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A környezeti változók validálásának továbbfejlesztésével megoldottuk a problémát.

CVE-2024-27805: Kirin (@Pwnrin) és 小来来 (@Smi1eSEC)

Bejegyzés hozzáadva: 2024. június 10.

Lemezképek

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27832: anonim kutató

Bejegyzés hozzáadva: 2024. június 10.

Foundation

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27801: CertiK SkyFall Team

Bejegyzés hozzáadva: 2024. június 10.

IOSurface

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27828: Pan ZhenPeng (@Peterpan0927, STAR Labs SG Pte.) Ltd.)

Bejegyzés hozzáadva: 2024. június 10.

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória védelmi funkcióit.

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2024-27840: anonim kutató

Bejegyzés hozzáadva: 2024. június 10.

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.

CVE-2024-27815: egy anonim kutató és Joseph Ravichandran (@0xjprx, MIT CSAIL)

Bejegyzés hozzáadva: 2024. június 10.

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani a hálózati csomagokat.

Leírás: Hatékonyabb zárolás révén hárítottunk el egy versenyhelyzeti problémát.

CVE-2024-27823: Prof. Benny Pinkas (Bar-Ilan University), Prof. Amit Klein (Hebrew University) és EP

Bejegyzés hozzáadva: 2024. július 29.

libiconv

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: Egyes alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-27811: Nick Wellnhofer

Bejegyzés hozzáadva: 2024. június 10.

Mail

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: A fizikai hozzáféréssel rendelkező támadók bizonyos esetekben kiszivárogtathatták a Mail-fiók hitelesítő adatait.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2024-23251: Gil Pedersen

Bejegyzés hozzáadva: 2024. június 10.

Mail

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: A rosszindulatú célból létrehozott e-mailek bizonyos esetekben a felhasználó hozzájárulása nélkül indíthattak FaceTime-hívásokat.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

CVE-2024-23282: Dohyun Lee (@l33d0hyun)

Bejegyzés hozzáadva: 2024. június 10.

Maps

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2024-27810: LFY@secsys (Fudan University)

Messages

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: Egy rosszindulatú célból létrehozott feldolgozása szolgáltatásmegtagadáshoz vezethetett.

Leírás: A veszélynek kitett kód eltávolításával hárítottuk el a problémát.

CVE-2024-27800: Daniel Zajork és Joshua Zajork

Bejegyzés hozzáadva: 2024. június 10.

Telefon

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktok adataihoz.

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

CVE-2024-27814: Dalibor Milanovic

Bejegyzés hozzáadva: 2024. június 10.

RemoteViewServices

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: A támadók bizonyos esetekben hozzáférést tudtak szerezni a felhasználói adatokhoz.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.

CVE-2024-27816: Mickey Jin (@patch1t)

Shortcuts

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Bizonyos esetekben a parancsok bizalmas adatokat jelenítettek meg a felhasználó hozzájárulása nélkül.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy útvonalkezelési hibát.

CVE-2024-27821: Kirin (@Pwnrin), zbleet és Fitzl Csaba (@theevilbit) (Kandji)

Spotlight

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni.

Leírás: A környezeti tisztítás továbbfejlesztésével elhárítottuk a problémát.

CVE-2024-27806

Bejegyzés hozzáadva: 2024. június 10.

Transparency

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas felhasználói adatokhoz hozzáférni

Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát.

CVE-2024-27884: Mickey Jin (@patch1t)

Bejegyzés hozzáadva: 2024. július 29.

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az olvasási és írási képességekkel rendelkező támadók bizonyos esetekben meg tudták kerülni a Mutatóhitelesítést

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 272750

CVE-2024-27834: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: További logika hozzáadásával megoldottuk a problémát.

WebKit Bugzilla: 262337

CVE-2024-27838: Emilio Cobos (Mozilla)

Bejegyzés hozzáadva: 2024. június 10.

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 268221

CVE-2024-27808: Lukas Bernhard (CISPA Helmholtz Center for Information Security)

Bejegyzés hozzáadva: 2024. június 10.

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzésekkel kiküszöböltük a problémát.

WebKit Bugzilla: 272106

CVE-2024-27851: Nan Wang (@eternalsakura13, 360 Vulnerability Research Institute)

Bejegyzés hozzáadva: 2024. június 10.

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.

WebKit Bugzilla: 272750

CVE-2024-27834: Manfred Paul (@_manfp) a Trend Micro Zero Day Initiative kezdeményezés keretében

Bejegyzés hozzáadva: 2024. június 10.

WebKit Canvas

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek

Érintett terület: Egy ártó szándékkal létrehozott weboldal képes volt rögzíteni a felhasználó ujjlenyomatát

Leírás: Hatékonyabb állapotkezeléssel küszöböltük ki a problémát.

WebKit Bugzilla: 271159

CVE-2024-27830: Joe Rutkowski (@Joe12387, Crawless) és @abrahamjuliot

Bejegyzés hozzáadva: 2024. június 10.

WebKit Web Inspector

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy a webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

WebKit Bugzilla: 270139

CVE-2024-27820: Jeff Johnson (underpassapp.com)

Bejegyzés hozzáadva: 2024. június 10.

További köszönetnyilvánítás

App Store

Köszönjük egy anonim kutató segítségét.

AppleMobileFileIntegrity

Köszönjük Mickey Jin (@patch1t) segítségét.

Bejegyzés hozzáadva: 2024. június 10.

CoreHAP

Köszönjük Adrian Cable segítségét.

Lemezképek

Köszönjük Mickey Jin (@patch1t) segítségét.

Bejegyzés hozzáadva: 2024. június 10.

HearingCore

Köszönjük egy anonim kutató segítségét.

ImageIO

Köszönjük egy anonim kutató segítségét.

Bejegyzés hozzáadva: 2024. június 10.

Managed Configuration

Köszönjük 遥遥领先 (@晴天组织) segítségét.

Siri

Köszönjük Abhay Kailasia (@abhay_kailasia) (Lakshmi Narain College Of Technology Bhopal India) segítségét.

Bejegyzés hozzáadva: 2024. június 10.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: