Om sikkerhedsindholdet i watchOS 9
I dette dokument beskrives sikkerhedsindholdet i watchOS 9.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
watchOS 9
Accelerate Framework
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2022-42795: ryuzaki
AppleAVD
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32907: Natalie Silvanovich fra Google Project Zero, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan forårsage, at der lækkes en følsom kernestatus
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32854: Holger Fuhrmannek fra Deutsche Telekom Security
Exchange
Fås til: Apple Watch Series 4 og nyere
Effekt: En bruger i en privilegeret netværksposition kan muligvis opfange loginoplysninger til e-mailkonti
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) fra Check Point Research
GPU Drivers
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-32903: en anonym programmør
ImageIO
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af et billede kan føre til DoS-angreb
Beskrivelse: Et DoS-problem er løst via forbedret godkendelse.
CVE-2022-1622
Image Processing
Fås til: Apple Watch Series 4 og nyere
Effekt: En sandbox-app kan muligvis se, hvilken app der i øjeblikket bruger kameraet
Beskrivelse: Problemet blev løst via yderligere begrænsninger for observerbarhed af apptilstande.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig fra Kunlun Lab
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2022-32914: Zweig fra Kunlun Lab
Kernel
Fås til: Apple Watch Series 4 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32894: en anonym programmør
Maps
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2022-32883: Ron Masas fra breakpointhq.com
MediaLibrary
Fås til: Apple Watch Series 4 og nyere
Effekt: En bruger kan muligvis opnå flere rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2022-32908: En anonym programmør
Notifications
Fås til: Apple Watch Series 4 og nyere
Effekt: En bruger med fysisk adgang til en enhed kan muligvis få adgang til kontakter fra låseskærmen
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security
Siri
Fås til: Apple Watch Series 4 og nyere
Effekt: En bruger med fysisk adgang til en enhed kan muligvis bruge Siri til at få oplysninger om opkaldshistorik
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32870: Andrew Goldberg fra The McCombs School of Business, The University of Texas i Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Fås til: Apple Watch Series 4 og nyere
Effekt: En ekstern bruger kan muligvis forårsage DoS-angreb
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-36690
Watch app
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan være i stand til at læse et vedvarende enheds-id
Beskrivelse: Problemet er løst ved forbedret godkendelse.
CVE-2022-32835: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Weather
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis læse følsomme oplysninger om lokalitet
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32875: en anonym programmør
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2022-32912: Jeonghoon Shin (@singi21a) fra Theori i samarbejde med Trend Micro Zero Day Initiative
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre manipulering med brugergrænsefladen
Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.
CVE-2022-32891: @real_as3617, En anonym programmør
WebKit
Fås til: Apple Watch Series 4 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32893: en anonym programmør
Wi-Fi
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-46709: Wang Yu fra Cyberserval
Wi-Fi
Fås til: Apple Watch Series 4 og nyere
Effekt: En app kan forårsage uventet systemlukning eller skrivning til kernehukommelsen
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32925: Wang Yu fra Cyberserval
Yderligere anerkendelser
AppleCredentialManager
Vi vil gerne takke @jonathandata1 for hjælpen.
FaceTime
Vi vil gerne takke en anonym programmør for hjælpen.
Kernel
Vi vil gerne takke en anonym programmør for hjælpen.
Vi vil gerne takke en anonym programmør for hjælpen.
Safari
Vi vil gerne takke Scott Hatfield fra Sub-Zero Group for hjælpen.
Sandbox
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.
UIKit
Vi vil gerne takke Aleczander Ewing for hjælpen.
WebKit
Vi vil gerne takke en anonym programmør for hjælpen.
WebRTC
Vi vil gerne takke en anonym programmør for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.