Informace o bezpečnostním obsahu watchOS 8.6
Tento dokument popisuje bezpečnostní obsah watchOS 8.6.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 8.6
AppleAVD
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-26702: anonymní výzkumník, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom)
AppleAVD
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.
Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2022-22675: anonymní výzkumník
DriverKit
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: Problém s přístupem mimo rozsah byl vyřešen vylepšením kontroly rozsahů.
CVE-2022-26763: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
ImageIO
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.
CVE-2022-26711: actae0n z Blacksun Hackers Club ve spolupráci s Trend Micro Zero Day Initiative
IOMobileFrameBuffer
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-26768: anonymní výzkumník
IOSurfaceAccelerator
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-26771: anonymní výzkumník
Kernel
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) ze STAR Labs (@starlabs_sg)
Kernel
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-26757: Ned Williamson z týmu Google Project Zero
Kernel
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Útočník, kterému se podařilo spustit kód jádra, může obejít ochranu paměti jádra.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2022-26764: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
Kernel
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Útočníkovi, který má možnost libovolně zapisovat a číst, se může podařit obejít ověřování ukazatele.
Popis: Problém se souběhem byl vyřešen zlepšením zpracování stavu.
CVE-2022-26765: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
LaunchServices
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Procesu běžícímu v sandboxu se může podařit obejít omezení sandboxu.
Popis: Problém s přístupem byl vyřešen přidáním dalších omezení sandboxu pro aplikace jiných vývojářů.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or z Microsoftu
libresolv
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Chyba s přetečením celého čísla byla vyřešena vylepšením ověřování vstupů.
CVE-2022-26775: Max Shavrick (@_mxms) z týmu Google Security
libresolv
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-26708: Max Shavrick (@_mxms) z týmu Google Security
libresolv
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Vzdálenému uživateli se může podařit způsobit odmítnutí služby.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) z týmu Google Security
libresolv
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Útočníkovi se může podařit způsobit neočekávané ukončení aplikace nebo spuštění libovolného kódu.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-26776: Max Shavrick (@_mxms) z týmu Google Security, Zubair Ashraf z týmu Crowdstrike
libxml2
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-23308
Security
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Škodlivé aplikaci se může podařit obejít ověření podpisu.
Popis: Problém s analýzou certifikátů byl vyřešen vylepšením kontrol.
CVE-2022-26766: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)
TCC
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit zaznamenávat obrazovku uživatele.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan z týmu YCISCQ
WebKit
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-26700: ryuzaki
WebKit
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.
CVE-2022-26709: Chijin Zhou z týmu ShuiMuYuLin Ltd a Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou z týmu ShuiMuYuLin Ltd a Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin ze společnosti Theori
WebKit
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2022-26716: SorryMybad (@S0rryMybad) z Kunlun Lab
CVE-2022-26719: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech
Wi-Fi
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Škodlivá aplikace může odhalit vyhrazenou paměť.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2022-26745: Scarlet Raine
Wi-Fi
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Škodlivá aplikace může odhalit vyhrazenou paměť.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2022-26745: anonymní výzkumník
Další poděkování
AppleMobileFileIntegrity
Poděkování za pomoc zaslouží Wojciech Reguła (@_r3ggi) ze společnosti SecuRing.
WebKit
Poděkování za pomoc zaslouží James Lee a anonymní výzkumník.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.