Om sikkerhedsindholdet i watchOS 8.6
I dette dokument beskrives sikkerhedsindholdet i watchOS 8.6.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
watchOS 8.6
AppleAVD
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-26702: En anonym programmør, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)
AppleAVD
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-22675: en anonym programmør
DriverKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et out-of-bounds-adgangsproblem blev løst via forbedret kontrol af grænser.
CVE-2022-26763: Linus Henze fra Pinauten GmbH (pinauten.de)
ImageIO
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2022-26711: actae0n fra Blacksun Hackers Club, der arbejder med Trend Micros Zero Day Initiative
IOMobileFrameBuffer
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-26768: en anonym programmør
IOSurfaceAccelerator
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-26771: en anonym programmør
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) fra STAR Labs (@starlabs_sg)
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-26757: Ned Williamson fra Google Project Zero
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26764: Linus Henze fra Pinauten GmbH (pinauten.de)
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse
Beskrivelse: En konkurrencetilstand er løst med forbedret tilstandshåndtering.
CVE-2022-26765: Linus Henze fra Pinauten GmbH (pinauten.de)
LaunchServices
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Et adgangsproblem blev løst via yderligere sandbox-begrænsninger på tredjepartsapps.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or fra Microsoft
libresolv
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2022-26775: Max Shavrick (@_mxms) fra Googles sikkerhedsteam
libresolv
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26708: Max Shavrick (@_mxms) fra Googles sikkerhedsteam
libresolv
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32790: Max Shavrick (@_mxms) fra Googles sikkerhedsteam
libresolv
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker kan forårsage uventet programafslutning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26776: Max Shavrick (@_mxms) fra Googles sikkerhedsteam, Zubair Ashraf fra Crowdstrike
libxml2
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-23308
Security
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis omgå signaturgodkendelse
Beskrivelse: Et problem med parsing af certifikat er løst ved hjælp af forbedrede kontroller.
CVE-2022-26766: Linus Henze fra Pinauten GmbH (pinauten.de)
TCC
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan registrere en brugers skærm
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26726: Antonio Cheong Yu Xuan fra YCISCQ
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-26700: ryuzaki
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-26709: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou fra ShuiMuYuLin Ltd og Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin fra Theori
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-26716: SorryMybad (@S0rryMybad) fra Kunlun Lab
CVE-2022-26719: Dongzhuo Zhao, der arbejder med ADLab fra Venustech
Wi-Fi
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26745: Scarlet Raine
Wi-Fi
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis afsløre beskyttet hukommelse
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-26745: En anonym programmør
Yderligere anerkendelser
AppleMobileFileIntegrity
Vi vil gerne takke Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.
WebKit
Vi vil gerne takke James Lee og en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.