Informace o bezpečnostním obsahu watchOS 9

Tento dokument popisuje bezpečnostní obsah watchOS 9.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.

watchOS 9

Vydáno 12. září 2022

Accelerate Framework

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.

CVE-2022-42795: ryuzaki

AppleAVD

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2022-32907: Natalie Silvanovich z týmu Google Project Zero, Antonio Zekic (@antoniozekic) a John Aakerblom (@jaakerblom), ABC Research s.r.o., Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit odhalit citlivé informace o stavu jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit obejít předvolby soukromí.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2022-32854: Holger Fuhrmannek ze společnosti Deutsche Telekom Security

Exchange

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Uživateli s vysokými oprávněními v síti se může podařit zachytit přihlašovací údaje k e-mailu.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) ze společnosti Check Point Research

Záznam aktualizován 8. června 2023

GPU Drivers

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněním jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2022-32903: anonymní výzkumník

ImageIO

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování obrázku může vést k odepření služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování.

CVE-2022-1622

Image Processing

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci v sandboxu se může podařit zjistit, která aplikace momentálně používá kameru.

Popis: Problém byl vyřešen přidáním dalších omezení k viditelnosti stavů aplikací.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit odhalit obsah paměti jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32864: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními jádra.

Popis: Problém byl vyřešen vylepšením zpracování paměti.

CVE-2022-32866: Linus Henze ze společnosti Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig z týmu Kunlun Lab

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněním jádra.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2022-32914: Zweig z týmu Kunlun Lab

Kernel

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru. Apple má informace o tom, že tento problém mohl být aktivně zneužit.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2022-32894: anonymní výzkumník

Maps

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2022-32883: Ron Masas z týmu breakpointhq.com

MediaLibrary

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Uživateli se může podařit navýšit oprávnění.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2022-32908: anonymní výzkumník

Notifications

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Uživateli s fyzickým přístupem k zařízení se může podařit dostat se ze zamknuté obrazovky ke kontaktům.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit upravit chráněné části souborového systému.

Popis: Problém v logice byl vyřešen vylepšením omezení.

CVE-2022-32881: Csaba Fitzl (@theevilbit) ze společnosti Offensive Security

Siri

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Uživateli s fyzickým přístupem k zařízení se může podařit použít Siri k získání některých informací o historii volání.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-32870: Andrew Goldberg z fakulty McCombs School of Business Texaské univerzity v Austinu (linkedin.com/in/andrew-goldberg-/)

SQLite

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Vzdálenému uživateli se může podařit způsobit odmítnutí služby.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2021-36690

Watch app

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit přečíst trvalý identifikátor zařízení.

Popis: Problém byl vyřešen vylepšením oprávnění.

CVE-2022-32835: Guilherme Rambo z týmu Best Buddy Apps (rambo.codes)

Weather

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Problém v logice byl vyřešen vylepšením správy stavu.

CVE-2022-32875: anonymní výzkumník

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) z týmu Theori ve spolupráci s týmem Trend Micro Zero Day Initiative

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Návštěva webové stránky se škodlivým obsahem může vést k podvržení uživatelského rozhraní.

Popis: Problém byl vyřešen vylepšením zpracování uživatelského rozhraní.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, anonymní výzkumník

WebKit

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu. Apple má informace o tom, že tento problém mohl být aktivně zneužit.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

WebKit Bugzilla: 243557
CVE-2022-32893: anonymní výzkumník

Wi-Fi

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.

CVE-2022-46709: Wang Yu z Cyberservalu

Záznam přidán 8. června 2023

Wi-Fi

K dispozici pro: Apple Watch Series 4 a novější

Dopad: Aplikaci se může podařit způsobit neočekávané ukončení systému nebo zapisovat do paměti jádra.

Popis: Problém se zápisem mimo rozsah byl vyřešen vylepšením kontroly rozsahu.

CVE-2022-32925: Wang Yu z Cyberservalu

Další poděkování

AppleCredentialManager

Poděkování za pomoc zaslouží @jonathandata1.

FaceTime

Poděkování za pomoc zaslouží anonymní výzkumník.

Kernel

Poděkování za pomoc zaslouží anonymní výzkumník.

Mail

Poděkování za pomoc zaslouží anonymní výzkumník.

Safari

Poděkování za pomoc zaslouží Scott Hatfield ze společnosti Sub-Zero Group.

Záznam přidán 8. června 2023

Sandbox

Poděkování za pomoc zaslouží Csaba Fitzl (@theevilbit) z týmu Offensive Security.

UIKit

Poděkování za pomoc zaslouží Aleczander Ewing.

WebKit

Poděkování za pomoc zaslouží anonymní výzkumník.

WebRTC

Poděkování za pomoc zaslouží anonymní výzkumník.

 

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: