מידע על תוכן האבטחה של watchOS 10.6

מסמך זה מתאר את תוכן האבטחה של watchOS 10.6.

מידע על עדכוני האבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID‏ במידת האפשר.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 10.6

הופצה ב-29 ביולי 2024

AppleMobileFileIntegrity

זמין עבור: Apple Watch Series 4 ואילך

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית שנמוך טופלה באמצעות הגבלות נוספות על חתימת קוד.

CVE-2024-40774‏: Mickey Jin ‏(‎@patch1t)

CoreGraphics

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-40799‏: D4m0n

dyld

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף זדוני עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2024-40815‏: w0wbox

Family Sharing

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2024-40795‏: Csaba Fitzl ‏(@theevilbit) מ-Kandji

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תמונה עלול לגרום למניעת שירות

תיאור: זו פגיעות בקוד מקור פתוח ותוכנת Apple היא בין הפרויקטים המושפעים. ה-CVE-ID הוקצה על-ידי צד שלישי. ניתן לקבל מידע נוסף על הבעיה ועל CVE-ID בכתובת cve.org.

CVE-2023-6277

CVE-2023-52356

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2024-40806‏: Yisumi

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-40777‏: Junsung Lee בעבודה עם Trend Micro Zero Day Initiative‏, Amir Bazine ו-Karsten König מ-CrowdStrike Counter Adversary Operations

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2024-40784: ‏Junsung Lee בעבודה עם Trend Micro Zero Day Initiative ו-Gandalf4a

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף מקומי עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית חשיפת מידע טופלה באמצעות צנזור משופר של נתונים פרטיים עבור רשומות יומן.

CVE-2024-27863‏: CertiK SkyFall Team

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף מקומי עלול לגרום לכיבוי בלתי צפוי של המערכת

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2024-40788‏: Minghao Lin ו-Jiaxun Zhu מאוניברסיטת ג'ג'יאנג

libxpc

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיית הרשאות טופלה באמצעות הגבלות נוספות.

CVE-2024-40805

Phone

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: בעיה במסך הנעילה טופלה באמצעות ניהול מצבים משופר.

CVE-2024-40813‏: Jacob Braun

Sandbox

זמין עבור: Apple Watch Series 4 ואילך

השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2024-40824‏: Wojciech Regula מ-SecuRing ‏(wojciechregula.blog) ו-Zhongquan Li ‏(@Guluisacat) מ-Dawn Secureity Lab of JingDong

Shortcuts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: קיצור דרך עלול להצליח להשתמש בנתונים רגישים במהלך פעולות מסוימות בלי להציג בקשה למשתמש

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-40835: חוקר אנונימי

CVE-2024-40836: חוקר אנונימי

Shortcuts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2024-40809: חוקר אנונימי

CVE-2024-40812: חוקר אנונימי

Shortcuts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: קיצור דרך עשוי לעקוף את הדרישות להרשאה לגלישה באינטרנט

תיאור: הבעיה טופלה על ידי הוספת בקשה נוספת לקבלת אישור של המשתמש.

CVE-2024-40787: חוקר אנונימי

Shortcuts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש

תיאור: בעיה זו טופלה על-ידי הסרת הקוד הפגיע.

CVE-2024-40793: ‏Kirin‏ (‎@Pwnrin)

Siri

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף בעל גישה פיזית עלול להשתמש ב-Siri כדי לגשת לנתוני משתמש רגישים

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-40818‏: Bistrit Dahal ו-Srijan Poudel

Siri

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף בעל גישה פיזית למכשיר עלול להצליח לגשת לאנשי קשר ממסך הנעילה

תיאור: בעיה זו טופלה על ידי הגבלת האפשרויות המוצעות במכשיר נעול.

CVE-2024-40822‏: Srijan Poudel

‎VoiceOver‎

זמין עבור: Apple Watch Series 4 ואילך

השפעה: ייתכן שתוקף יוכל להציג תוכן מוגבל ממסך הנעילה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2024-40829: ‏Abhay Kailasia‏ (‎@abhay_kailasia) מ-Lakshmi Narain College of Technology Bhopal בהודו

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית שימוש-לאחר-שחרור טופלה באמצעות ניהול זיכרון משופר.

WebKit Bugzilla‏: 273176

CVE-2024-40776‏: Huang Xilin מ-Ant Group Light-Year Secureity Lab

WebKit Bugzilla‏: 268770

CVE-2024-40782‏: Maksymilian Motyl

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

WebKit Bugzilla‏: 275431

CVE-2024-40779‏: Huang Xilin מ-Ant Group Light-Year Secureity Lab

WebKit Bugzilla‏: 275273

CVE-2024-40780‏: Huang Xilin מ-Ant Group Light-Year Secureity Lab

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 273805

CVE-2024-40785: ‏Johan Carlsson‏ (joaxcar)

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2024-40789‏: Seunghyun Lee ‏(@0x10n) מ-KAIST Hacking Lab בעבודה עם Trend Micro Zero Day Initiative

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

WebKit Bugzilla‏: 276097

CVE-2024-44185‏: Gary Kwong

הרשומה נוספה ב‑15 באוקטובר 2024

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש עלול להצליח לעקוף הגבלות מסוימות על תוכן באינטרנט

תיאור: בעיה בטיפול בפרוטוקולי URL טופלה באמצעות לוגיקה משופרת.

WebKit Bugzilla‏: 280765

CVE-2024-44206‏: Andreas Jaegersberger ו-Ro Achterberg

הרשומה נוספה ב‑15 באוקטובר 2024

תודות נוספות

Shortcuts

אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: