Tietoja watchOS 10.6:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 10.6:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut luetellaan Applen suojauspäivitykset -sivulla.

Applen tietoturvadokumenteissa viitataan haavoittuvuuksiin CVE-tunnusten avulla, jos mahdollista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuussivulta.

watchOS 10.6

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: aiempaan versioon päivittämisen ongelma on ratkaistu lisäämällä koodin allekirjoitusrajoituksia.

CVE-2024-40774: Mickey Jin (@patch1t)

CoreGraphics

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40799: D4m0n

dyld

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2024-40815: w0wbox

Family Sharing

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2024-40795: Csaba Fitzl (@theevilbit, Kandji)

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: tämä on avoimen lähdekoodin haavoittuvuus, ja Apple-ohjelmistot sisältyvät haavoittuvuuden vaikutuspiiriin kuuluviin projekteihin. CVE-ID on kolmannen osapuolen määrittämä. Lue lisätietoja ongelmasta ja CVE-ID:stä sivustolla cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40806: Yisumi

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40777: Junsung Lee yhteistyössä Trend Micro Zero Day Initiativen, Amir Bazinen ja Karsten Königin (CrowdStrike Counter Adversary Operation) kanssa

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.

Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2024-40784: Junsung Lee yhteistyössä Trend Micron Zero Day Initiativen ja Gandalf4a:n kanssa

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: paikallinen hyökkääjä voi pystyä päättelemään kernel-muistin asettelun.

Kuvaus: tietojen paljastumisen ongelma on ratkaistu parantamalla henkilötietojen sensurointia lokimerkinnöissä.

CVE-2024-27863: CertiK SkyFall Team

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: paikallinen hyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sammumisen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2024-40788: Minghao Lin ja Jiaxun Zhu (Zhejiang University)

libxpc

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: käyttöoikeusongelma on ratkaistu lisäämällä rajoituksia.

CVE-2024-40805

Phone

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: Lukitun näytön ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40813: Jacob Braun

Sandbox

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2024-40824: Wojciech Regula (SecuRing, wojciechregula.blog) ja Zhongquan Li (@Guluisacat, Dawn Security Lab of JingDong)

Shortcuts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: pikakomento saattoi pystyä käyttämään arkaluonteisia tietoja tietyissä toiminnoissa ilman, että käyttäjältä pyydettiin lupaa.

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40835: nimetön tutkija

CVE-2024-40836: nimetön tutkija

Shortcuts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2024-40809: nimetön tutkija

CVE-2024-40812: nimetön tutkija

Shortcuts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset

Kuvaus: ongelma ratkaistiin lisäämällä ylimääräinen kehote käyttäjäsuostumukselle.

CVE-2024-40787: nimetön tutkija

Shortcuts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä käyttämään arkaluontoisia henkilötietoja.

Kuvaus: tämä ongelma on ratkaistu poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2024-40793: Kirin (@Pwnrin)

Siri

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, joka pääsi käsiksi laitteeseen, saattoi pystyä käyttämään Siriä arkaluonteisiin käyttäjätietoihin pääsyyn.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40818: Bistrit Dahal ja Srijan Poudel

Siri

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä, jolla oli fyysinen pääsy laitteeseen, saattoi pystyä käyttämään yhteystietoja lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.

CVE-2024-40822: Srijan Poudel

VoiceOver

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: hyökkääjä saattoi pystyä katselemaan kiellettyä sisältöä lukitulta näytöltä.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-40829: Abhay Kailasia (@abhay_kailasia, Lakshmi Narain College of Technology Bhopal India)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: Use-After-Free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2024-40776: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40782: Maksymilian Motyl

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40779: Huang Xilin (Ant Group Light-Year Security Lab)

CVE-2024-40780: Huang Xilin (Ant Group Light-Year Security Lab)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2024-40785: Johan Carlsson (joaxcar)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2024-40789: Seunghyun Lee (@0x10n, KAIST Hacking Lab) yhdessä Trend Micro Zero Day Initiativen kanssa

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsittely saattoi johtaa prosessin odottamattomaan kaatumiseen.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2024-44185: Gary Kwong

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: käyttäjä saattoi pystyä ohittamaan joitakin verkkosisältöä koskevia rajoituksia.

Kuvaus: URL-protokollien käsittelyyn liittyvä ongelma on ratkaistu parantamalla logiikkaa.

CVE-2024-44206: Andreas Jaegersberger ja Ro Achterberg

Kiitokset

Shortcuts

Haluamme kiittää avusta nimetöntä tutkijaa.