Om sikkerhetsinnholdet i watchOS 11

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 11.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Apple-sikkerhetsutgivelser.

Apple-sikkerhetsdokumenter henviser til sårbarheter etter CVE-ID når det er mulig.

Mer informasjon finnes på siden for Apple-produktsikkerhet.

watchOS 11

Accessibility

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En angriper med fysisk tilgang til en låst enhet kan kontrollere nærliggende enheter via tilgjengelighetsfunksjoner

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44171: Jake Derouin (jakederouin.com)

Game Center

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et filtilgangsproblem ble løst gjennom forbedret validering av inndata.

CVE-2024-40850: Denis Tokarev (@illusionofcha0s)

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2024-27880: Junsung Lee

ImageIO

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tilgang utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2024-44176: dw0r fra ZeroPointer Lab arbeider med Trend Micro Zero Day Initiative, en anonym forsker

IOSurfaceAccelerator

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan forårsake uventet systemavslutning

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2024-44169: Antonio Zekić

Kernel

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få uautorisert tilgang til Bluetooth

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) og Mathy Vanhoef

LaunchServices

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En skadelig app kan endre andre apper uten appadministrasjonstillatelse

Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.

CVE-2024-54560: Kirin (@Pwnrin), Jeff Johnson (underpassapp.com)

libxml2

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2024-44198: OSS-Fuzz, Ned Williamson hos Google Project Zero

mDNSResponder

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan forårsake tjenestenekt

Beskrivelse: En logikkfeil ble løst gjennom forbedret feilhåndtering.

CVE-2024-44183: Olivier Levon

Safari

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Skadelig nettinnhold kan være i strid med sandkasseretningslinjene for iFrame

Beskrivelse: Et problem med håndtering av egendefinert URL-oppsett ble løst med forbedret inndatavalidering.

CVE-2024-44155: Narendra Bhati, leder for Cyber Security hos Suma Soft Pvt. Ltd, Pune (India)

SceneKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av en skadelig fil kan føre til uventet appavslutning

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2024-44144: 냥냥

Siri

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: En app kan få tilgang til sensitiv brukerinformasjon

Beskrivelse: Et personvernproblem ble løst ved å flytte sensitive opplysninger til et sikrere sted.

CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Et problem med informasjonskapsler ble løst med forbedret tilstandshåndtering.

CVE-2024-54467: Narendra Bhati, leder for Cyber Security hos Suma Soft Pvt. Ltd, Pune (India)

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til uventet prosesstopp

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2024-44192: Tashita Software Security

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.

CVE-2024-40857: Ron Masas

WebKit

Tilgjengelig for: Apple Watch Series 6 og nyere

Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var et problem på tvers av opprinnelsessteder i «iframe»-elementer. Problemet ble løst gjennom forbedret sporing av sikkerhetsopphav.

CVE-2024-44187: Narendra Bhati, leder for Cyber Security hos Suma Soft Pvt. Ltd, Pune (India)

Ytterligere anerkjennelser

dyld

Vi vil gjerne takke Pietro Francesco Tirenna, Davide Silvetti, Abdel Adim Oisfi fra Shielder (shielder.com) for hjelpen.

Kernel

Vi vil gjerne takke Braxton Anderson og Fakhri Zulkifli (@d0lph1n98) hos PixiePoint Security for hjelpen.

Maps

Vi vil gjerne takke Kirin (@Pwnrin) for hjelpen.

Photos

Vi vil gjerne takke Junior Vergara for hjelpen.

Shortcuts

Vi vil gjerne takke Cristian Dinca of «Tudor Vianu» National High School of Computer Science i Romania, Jacob Braun, en anonym forsker.

Siri

Vi vil gjerne takke Abhay Kailasia (@abhay_kailasia) fra Lakshmi Narain College of Technology Bhopal India, Rohan Paudel, en anonym forsker for hjelpen.

Voice Memos

Vi vil gjerne takke Lisa B for hjelpen.

WebKit

Vi vil gjerne takke Avi Lumelsky fra Oligo Security, Uri Katz fra Oligo Security, Eli Grey (eligrey.com) og Johan Carlsson (joaxcar) for hjelpen.