Om sikkerhedsindholdet i watchOS 8.7
I dette dokument beskrives sikkerhedsindholdet i watchOS 8.7.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apples sikkerhedsdokumenter henviser om muligt til sikkerhedsrisici med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
watchOS 8.7
APFS
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En fjernbruger kan få adgang til at køre kernekode
Beskrivelse: Et problem med bufferoverløb er løst gennem forbedret kontrol af grænser.
CVE-2022-32788: Natalie Silvanovich fra Google Project Zero
AppleAVD
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32824: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro
Apple Neural Engine
Fås til enheder med Apple Neural Engine: Apple Watch Series 4 og nyere modeller
Effekt: En app kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Fås til enheder med Apple Neural Engine: Apple Watch Series 4 og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Fås til enheder med Apple Neural Engine: Apple Watch Series 4 og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et out-of-bounds-skriveproblem blev løst ved forbedret inputvalidering.
CVE-2022-32820: en anonym programmør
Audio
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreText
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En fjernbruger kan få adgang til at udføre uventet applukning eller køre vilkårlig kode
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis få adgang til rodrettigheder
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32819: Joshua Mason fra Mandiant
GPU Drivers
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Flere out-of-bounds-skriveproblemer blev løst via forbedret kontrol af grænser.
CVE-2022-32793: en anonym programmør
GPU Drivers
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2022-32821: John Aakerblom (@jaakerblom)
ICU
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.
ImageIO
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt billede kan medføre afsløring af proceshukommelse
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32841: hjy79425575
JavaScriptCore
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.
CVE-2022-48503: Dongzhuo Zhao, der arbejder med ADLab fra Venustech, og ZhaoHai fra Cyberpeace Tech Co., Ltd.
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.
CVE-2022-32813: Xinru Chi fra Pangu Lab
CVE-2022-32815: Xinru Chi fra Pangu Lab
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis afsløre kernehukommelsen
Beskrivelse: Et out-of-bounds-læseproblem blev løst via forbedret kontrol af grænser.
CVE-2022-32817: Xinru Chi fra Pangu Lab
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app med mulighed for at læse fra og skrive til kernehukommelsen kan muligvis omgå markørgodkendelse
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan forårsage uventet applukning eller kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)
libxml2
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan forårsage, at der lækkes følsomme brugeroplysninger
Beskrivelse: Et problem med hukommelsesinitialisering er løst via forbedret hukommelseshåndtering.
CVE-2022-32823
Multi-Touch
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedrede kontroller.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En bruger med en privilegeret netværksposition kan spore en brugers aktivitet
Beskrivelse: Dette problem er løst ved at bruge HTTPS under afsendelse af oplysninger over netværket.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) og xmzyshypnc(@xmzyshypnc1)
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et besøg på et websted, som bruger skadeligt indhold, kan medføre efterligning af brugergrænsefladen
Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et out-of-bounds-skriveproblem er løst via forbedret inputvalidering.
CVE-2022-32792: Manfred Paul (@_manfp) i samarbejde med Trend Micro Zero Day Initiative
Wi-Fi
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En fjernbruger kan muligvis få adgang til at udføre uventet systemlukning eller læse fra kernehukommelsen
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2022-32847: Wang Yu fra Cyberserval
Yderligere anerkendelser
AppleMobileFileIntegrity
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.
configd
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.