Om sikkerhedsindholdet i watchOS 9.1

I dette dokument beskrives sikkerhedsindholdet i watchOS 9.1.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 9.1

Udgivet 24. oktober 2022

AppleMobileFileIntegrity

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis ændre beskyttede dele af arkivsystemet

Beskrivelse: Problemet blev løst, ved at ekstra rettigheder blev fjernet.

CVE-2022-42825: Mickey Jin (@patch1t)

Apple Neural Engine

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Post tilføjet 27. oktober 2022

Audio

Fås til: Apple Watch Series 4 og nyere

Effekt: Parsing af et skadeligt lydarkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-42798: Anonym, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 27. oktober 2022

AVEVideoEncoder

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2022-32940: ABC Research s.r.o.

CFNetwork

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var problemer med certifikatgodkendelse i forbindelse med håndtering af WKWebView. Dette problem blev rettet gennem forbedret validering.

CVE-2022-42813: Jonathan Zhang fra Open Computing Facility (ocf.berkeley.edu)

GPU Drivers

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis udløse pludselig programlukning eller potentielt køre kode med kernerettigheder

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2022-46712: Tommy Muir (@Muirey03)

Post tilføjet 6. juni 2023

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet er løst ved forbedret hukommelseshåndtering.

CVE-2022-32924: Ian Beer fra Google Project Zero

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En fjernbruger kan få adgang til at køre kernekode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2022-42808: Zweig fra Kunlun Lab

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2022-32944: Tim Michaud (@TimGMichaud) fra Moveworks.ai

Post tilføjet 27. oktober 2022

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2022-42803: Xinru Chi fra Pangu Lab, John Aakerblom (@jaakerblom)

Post tilføjet 27. oktober 2022

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app med rodrettigheder kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Problemet blev løst ved forbedrede kontroller af grænser.

CVE-2022-32926: Tim Michaud (@TimGMichaud) fra Moveworks.ai

Post tilføjet 27. oktober 2022

Kernel

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et logikproblem er løst ved forbedret kontrol.

CVE-2022-42801: Ian Beer fra Google Project Zero

Post tilføjet 27. oktober 2022

Safari

Fås til: Apple Watch Series 4 og nyere

Effekt: Et besøg på et skadeligt websted kan medføre afsløring af følsomme data

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2022-42817: Mir Masood Ali, ph.d.-studerende, University of Illinois i Chicago; Binoy Chitale, MS-studerende, Stony Brook University; Mohammad Ghasemisharif, ph.d.-kandidat, University of Illinois i Chicago; Chris Kanich, lektor, University of Illinois i Chicago

Post tilføjet 27. oktober 2022

Sandbox

Fås til: Apple Watch Series 4 og nyere

Effekt: En app kan muligvis få adgang til følsomme brugerdata

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2022-42811: Justin Bui (@slyd0g) fra Snowflake

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Indlæsning af et skadeligt websted kan medføre manipulering med brugergrænsefladen

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun) fra SSD Labs

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt webindhold kan medføre afsløring af følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi fra Microsoft Browser Vulnerability Research, Ryan Shin fra IAAI SecLab ved Korea University, Dohyun Lee (@l33d0hyun) fra DNSLab ved Korea University

WebKit

Fås til: Apple Watch Series 4 og nyere

Effekt: Behandling af skadeligt webindhold kan forårsage videregivelse af de interne tilstande for appen

Beskrivelse: Et problem med nøjagtigheden i JIT blev løst med forbedrede kontroller.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) fra KAIST Hacking Lab

Post tilføjet 27. oktober 2022

zlib

Fås til: Apple Watch Series 4 og nyere

Effekt: En bruger kan muligvis forårsage uventet appafslutning eller vilkårlig kørsel af kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Post tilføjet 27. oktober 2022

Yderligere anerkendelser

iCloud

Vi vil gerne takke Tim Michaud (@TimGMichaud) fra Moveworks.ai for hans hjælp.

Kernel

Vi vil gerne takke Peter Nguyen fra STAR Labs, Tim Michaud (@TimGMichaud) fra Moveworks.ai, Tommy Muir (@Muirey03) for deres hjælp.

WebKit

Vi vil gerne takke Maddie Stone fra Google Project Zero, Narendra Bhati (@imnarendrabhati) fra Suma Soft Pvt. Ltd., en anonym programmør for deres hjælp.

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: 31. oktober 2023