Проблеми системи безпеки, які усунено в оновленні watchOS 11.2

У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 11.2.

Про оновлення системи безпеки Apple

Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски наведено на сторінці Випуски безпеки Apple.

У документах про безпеку Apple вразливості класифікуються за кодами CVE-ID, коли це можливо.

Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.

watchOS 11.2

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: шкідлива програма може отримувати доступ до приватної інформації.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54526: Mickey Jin (@patch1t), Arsenii Kostromin (0x3c3e)

AppleMobileFileIntegrity

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: цю проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54527: Mickey Jin (@patch1t)

Crash Reporter

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може отримувати доступ до конфіденційних даних користувача.

Опис: проблему з доступом вирішено за допомогою додаткових обмежень.

CVE-2024-54513: анонімний дослідник

FontParser

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54486: Hossein Lotfi (@hosselot), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

ImageIO

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого зображення може призводити до розкриття пам’яті процесів.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54500: Junsung Lee, що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

Kernel

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисник може створити відображення в пам’ять лише для читання, у яку можна записувати.

Опис: проблему з виникненням умови змагання вирішено завдяки додатковій перевірці.

CVE-2024-54494: sohybbyk

Kernel

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може спричинити витік конфіденційної інформації про стан ядра.

Опис: проблему з виникненням умови змагання вирішено завдяки вдосконаленню блокування.

CVE-2024-54510: Joseph Ravichandran (@0xjprx) із MIT CSAIL

libexpat

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: зловмисник може віддалено спричинити несподіване завершення роботи програми або виконання довільного коду.

Опис: це вразливість у відкритому вихідному коді, яка вплинула на програмне забезпечення Apple. Ідентифікатор CVE призначила стороння організація. Дізнайтеся більше про проблему та ідентифікатор CVE на сайті cve.org.

CVE-2024-45490

libxpc

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може виходити за межі ізольованого середовища.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54514: анонімний дослідник

libxpc

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: програма може отримувати вищий рівень привілеїв.

Опис: проблему з логікою вирішено завдяки вдосконаленню перевірок.

CVE-2024-44225: 风沐云烟 (@binary_fmyy)

SceneKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка зловмисного файлу може призводити до відмови в обслуговуванні.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54501: Michael DePlante (@izobashi), що співпрацює з компанією Trend Micro в межах ініціативи «Zero Day Initiative»

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню перевірок.

CVE-2024-54479: Seunghyun Lee

CVE-2024-54502: Brendon Tiszka з Google Project Zero

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до несподіваного аварійного завершення процесу.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-54508: linjy з HKUS3Lab і chluo з WHUSecLab, Xiangwei Zhang із Tencent Security YUNDING LAB

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему з переплутуванням типів вирішено завдяки вдосконаленню обробки звернень до пам’яті.

CVE-2024-54505: Gary Kwong

WebKit

Цільові продукти: Apple Watch Series 6 та новіші моделі

Вплив: обробка шкідливого вебконтенту може призводити до пошкодження пам’яті.

Опис: проблему вирішено завдяки вдосконаленню обробки пам’яті.

CVE-2024-54534: Tashita Software Security

Додаткова подяка

FaceTime

Дякуємо 椰椰 за допомогу.

Proximity

Дякуємо за допомогу Junming C. (@Chapoly1305) і професору Qiang Zeng з Університету Джорджа Мейсона.

Swift

Дякуємо за допомогу Marc Schoenefeld, доктору природничих наук .

WebKit

Дякуємо за допомогу користувачу Hafiizh.