מידע על תוכן האבטחה של watchOS 11
מסמך זה מתאר את תוכן האבטחה של watchOS 11.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת אותן עד לביצוע חקירה בנושא ויש גרסאות חדשות או תיקונים זמינים. מהדורות אחרונות מופיעות בדף מהדורות האבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID במידת האפשר.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 11
הופץ ב-16 בספטמבר 2024
Accessibility
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוקף בעל גישה פיזית למכשיר נעול עלול להצליח לשלוט במכשירים סמוכים באמצעות תכונות נגישות
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-44171: Jake Derouin
Game Center
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה לקבצים טופלה באמצעות אימות קלט משופר.
CVE-2024-40850: Denis Tokarev (@illusionofcha0s)
ImageIO
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2024-27880: Junsung Lee
ImageIO
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית גישה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2024-44176: dw0r מ-ZeroPointer Lab יחד עם Trend Micro Zero Day Initiative, חוקר אנונימי
IOSurfaceAccelerator
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להיות מסוגל לגרום לסיום לא צפוי של פעולת המערכת
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2024-44169: Anton Boegler
Kernel
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול לקבל גישה לא מורשית ל-Bluetooth
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2024-44191: Alexander Heinrich, SEEMOO, DistriNet, KU Leuven (@vanhoefm), TU Darmstadt (@Sn0wfreeze) ו-Mathy Vanhoef
libxml2
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן מקוון בעל מבנה זדוני עלול להוביל לקריסת תהליך לא צפויה
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2024-44198: OSS-Fuzz, נד וויליאמסון מ-Google Project Zero
mDNSResponder
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגרום למניעת שירות
תיאור: שגיאת לוגיקה טופלה באמצעות טיפול משופר בשגיאות.
CVE-2024-44183: Olivier Levon
Safari
זמין עבור: Apple Watch Series 6 ואילך
השפעה: תוכן אינטרנט בעל מבנה זדוני עלול להפר את מדיניות השימוש ב'ארגז חול' של iframe
תיאור: בעיה בטיפול בסכמת URL מותאמת אישית טופלה באמצעות אימות קלט משופר.
CVE-2024-44155: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
הרשומה נוספה ב‑28 באוקטובר 2024
SceneKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל לסיום בלתי צפוי של פעולת יישום
תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.
CVE-2024-44144: 냥냥
הרשומה נוספה ב‑28 באוקטובר 2024
Siri
זמין עבור: Apple Watch Series 6 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית פרטיות טופלה על ידי העברת נתונים רגישים למיקום מאובטח יותר.
CVE-2024-44170: K宝, LFY (@secsys), Smi1e, yulige, Cristian Dinca (icmd.tech), Rodolphe BRUNETTI (@eisw0lf)
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: עיבוד תוכן אינטרנטי בעל מבנה זדוני עלול לגרום ל-Scripting אוניברסלי בין אתרים
תיאור: בעיה זו טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 268724
CVE-2024-40857: Ron Masas
WebKit
זמין עבור: Apple Watch Series 6 ואילך
השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים
תיאור: בעיה של מקורות מרובים הייתה קיימת באלמנטים מסוג 'iframe'. הבעיה טופלה באמצעות מעקב משופר אחרי מקורות אבטחה.
WebKit Bugzilla: 279452
CVE-2024-44187: Narendra Bhati, מנהל אבטחת סייבר ב-Suma Soft Pvt. Ltd, פונה (הודו)
תודות נוספות
Kernel
אנחנו מבקשים להודות ל-Braxton Anderson, ל-Fakhri Zulkifli (@d0lph1n98) מ-PixiePoint Security על הסיוע.
Maps
אנחנו מבקשים להודות ל-Kirin (@Pwnrin) על הסיוע.
Shortcuts
אנחנו מבקשים להודות ל-Cristian Dinca מבית הספר התיכון הלאומי Tudor Vianu למדעי המחשב ברומניה, ל-Jacob Braun ולחוקר אנונימי על הסיוע.
Siri
אנחנו מבקשים להודות ל-Abhay Kailasia (@abhay_kailasia) מ-Lakshmi Narain College Of Technology Bhopal India ול-Rohan Paudel, חוקר אנונימי, על הסיוע.
הרשומה עודכנה ב‑28 באוקטובר 2024
Voice Memos
אנחנו מבקשים להודות ל-Lisa B על הסיוע.
WebKit
אנחנו מבקשים להודות ל-Avi Lumelsky מ-Oligo Security, ל-Uri Katz מ-Oligo Security, ל-Eli Grey (eligrey.com) ול-Johan Carlsson (joaxcar) על הסיוע.
הרשומה עודכנה ב‑28 באוקטובר 2024
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.