アップルは3月7日(現地時間)、watchOS 10.4の配信を開始した。「Apple Watch Series 6」でのファイルサイズは744MBで、新機能追加と既存機能の強化、バグや脆弱性の修正などが実施されている。アップデートの対象機種は「Apple Watch Series 4」以降だ。
新機能追加と既存機能強化
本バージョンでは新たに「ダブルタップで通知を展開する機能」を追加。Apple Watchの通知設定から「タップして通知の詳細を表示」をオンにすることで利用できる。
「Apple Pay」も一部機能のセキュリティーを強化。「AssistiveTouchで承認」がオンになっている場合、決済時にサイドボタンのダブルクリックではなく、パスコードの入力が必要となった。
バグや脆弱性の修正
バグや脆弱性の修正については以下のとおり。CVE番号が振られた脆弱性の修正は24件に及び、すでに悪用された可能性のあるものも含まれる。
●バグ修正
・一部のユーザーでディスプレイの誤タッチが発生する問題
・一部のユーザーでApple Watchに連絡先が同期されない問題
●脆弱性の修正
・悪意のあるアプリが、アクセシビリティ通知に関連するログエントリ内のユーザーデータを観察できる可能性がある問題(CVE-2024-23291)
・アプリが権限を昇格できる可能性がある問題(CVE-2024-23288)
・アプリがユーザーの許可なしに Bluetooth 接続のマイクにアクセスできる可能性がある問題(CVE-2024-23250)
・ファイルを処理すると、サービス拒否が発生したり、メモリ内容が漏洩したりする可能性がある問題(CVE-2022-48554)
・画像を処理すると、任意のコードが実行される可能性がある問題(CVE-2024-23286)
・アプリがユーザーの機密データにアクセスできる可能性がある問題(CVE-2024-23235/CVE-2024-23290/CVE-2024-23231)
・アプリが予期しないシステム終了を引き起こしたり、カーネルメモリに書き込みをしたりする可能性がある問題(CVE-2024-23265)
・任意のカーネル読み取りおよび書き込み機能を持つ攻撃者が、カーネル メモリ保護をバイパスできる可能性がある問題(CVE-2024-23225/CVE-2024-23296)※アップルはこの問題が悪用された可能性があるという報告を認識済み
・アプリがサンドボックスから抜け出せる可能性がある問題(CVE-2024-23278/CVE-2024-23246)
・アプリがサンドボックスから、または特定の昇格された権限を使用して任意のコードを実行できる可能性がある問題(CVE-2024-0258)
・悪意のあるアプリケーションが個人情報にアクセスできる可能性がある問題(CVE-2024-23297)
・メッセージアプリがユーザーの機密データにアクセスできる可能性がある問題(CVE-2024-23287)
・アプリによりユーザーの機密情報が漏洩する可能性がある問題(CVE-2024-23239)
・デバイスに物理的にアクセスできる人が、Siri を使用してプライベートなカレンダー情報にアクセスできる可能性がある問題(CVE-2024-23289)
・物理的にアクセスできる攻撃者が、Siri を使用して機密性の高いユーザーデータにアクセスできる可能性がある問題(CVE-2024-23293)
・ウェブコンテンツを処理すると、任意のコードが実行される可能性がある問題(CVE-2024-23226)
・悪意のあるウェブサイトにより、クロスオリジンで音声データが流出する可能性がある問題(CVE-2024-23254)
・悪意を持って作成されたウェブコンテンツを処理すると、コンテンツセキュリティポリシーが適用されなくなる可能性がある問題(CVE-2024-23263/CVE-2024-23284)
・悪意を持って作成されたウェブページにより、ユーザーのフィンガープリントが採取される可能性がある問題(CVE-2024-23280)
