Informace o bezpečnostním obsahu watchOS 9.2
Tento dokument popisuje bezpečnostní obsah watchOS 9.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 9.2
Vydáno 13. prosince 2022
Accessibility
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Uživatel s fyzickým přístupem k zamknutým Apple Watch si může prohlížet uživatelské fotografie prostřednictvím funkcí zpřístupnění.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-46717: Zitong Wu (吴梓桐) z 1. střední školy v Ču-chaj (珠海市第一中学)
Záznam přidán 6. června 2023
Accounts
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Uživateli se může podařit zobrazit citlivé uživatelské údaje.
Popis: Problém byl vyřešen vylepšením ochrany dat.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Parsování škodlivého souboru videa může vést ke spuštění kódu s oprávněními k jádru.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46694: Andrey Labunets a Nikita Tarakanov
AppleMobileFileIntegrity
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Tento problém byl vyřešen povolením nastavení Hardened Runtime.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing
CoreServices
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit obejít předvolby soukromí.
Popis: Několik problémů bylo vyřešeno odebráním zranitelného kódu.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) ze společnosti Offensive Security
ImageIO
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého souboru může vést ke spuštění libovolného kódu.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen vylepšením zpracování stavů.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Existoval problém v parsování URL adres. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-42837: anonymní výzkumník
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.
CVE-2022-46689: Ian Beer z týmu Google Project Zero
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Vzdálenému uživateli se může podařit spustit kód na úrovni jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42842: pattern-f (@pattern_F_) z týmu Ant Security Light-Year Lab
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci s kořenovými oprávněními se může podařit spustit libovolný kód s oprávněními jádra.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42845: Adam Doupé ze společnosti ASU SEFCOM
Kernel
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Útočníkovi, který má možnost libovolně zapisovat a číst, se může podařit obejít ověřování ukazatele. Apple má informace o tom, že tento problém mohl být zneužit ve verzích iOS vydaných před iOS 15.7.1.
Popis: Problém byl vyřešen vylepšením kontroly.
CVE-2022-48618: Apple
Záznam přidán 9. ledna 2024
libxml2
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Přetečení celých čísel bylo vyřešeno vylepšením ověřování vstupů.
CVE-2022-40303: Maddie Stone z týmu Google Project Zero
libxml2
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Vzdálenému uživateli se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-40304: Ned Williamson a Nathan Wachholz z Google Project Zero
Preferences
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit použít libovolná oprávnění.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2022-42855: Ivan Fratric z týmu Google Project Zero
Záznam přidán 6. června 2023
Safari
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Návštěva webové stránky se škodlivým obsahem může vést k podvržení uživatelského rozhraní.
Popis: Při zpracovávání adres URL docházelo k problému s falšováním. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Uživateli se může podařit navýšit oprávnění.
Popis: Existoval problém s voláními API, která měla vysoká oprávnění. Problém byl vyřešen dodatečnými omezeními.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém v logice byl vyřešen vylepšením omezení.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) ze společnosti SecuRing a Adam M.
Záznam přidán 6. června 2023
Weather
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Problém byl vyřešen vylepšením zpracování mezipamětí.
CVE-2022-42866: anonymní výzkumník
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.
Popis: Při zpracovávání adres URL mohlo dojít k falšování. Problém byl vyřešen vylepšením ověřování vstupů.
CVE-2022-46705: Hyeon Park (@tree_segment) z týmu ApplePIE
Záznam přidán 6. června 2023
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone z týmu Google Project Zero
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
WebKit Bugzilla: 245466
CVE-2022-46691: anonymní výzkumník
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k obejití zásady stejného původu.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.
Popis: Problém byl vyřešen vylepšením zpracování paměti.
CVE-2022-42852: hazbinhotel ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß z týmu Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß z týmu Google V8 Security
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení citlivých uživatelských informací.
Popis: Problém v logice byl vyřešen vylepšením kontrol.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) z týmu SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
K dispozici pro: Apple Watch Series 4 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß z týmu Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: anonymní výzkumník
Další poděkování
Kernel
Poděkování za pomoc zaslouží Zweig z týmu Kunlun Lab.
Safari Extensions
Poděkování za pomoc zaslouží Oliver Dunk a Christian R. z týmu 1Password.
WebKit
Poděkování za pomoc zaslouží anonymní výzkumník a scarlet.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.