Tietoja watchOS 9.2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 9.2:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 9.2
Julkaistu 13.12.2022
Accessibility
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: käyttäjä, jolla oli fyysinen pääsy lukittuun Apple Watchiin, saattoi pystyä katsomaan käyttäjän valokuvia käyttöaputoimintojen kautta.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-46717: Zitong Wu (吴梓桐) (Zhuhai No.1 Middle School, 珠海市第一中学)
Kohta lisätty 6.6.2023
Accounts
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja
Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa kernel-koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46694: Andrey Labunets ja Nikita Tarakanov
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.
CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)
CoreServices
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: useita ongelmia ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2022-42837: nimetön tutkija
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42845: Adam Doupé (ASU SEFCOM)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.
Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.
CVE-2022-48618: Apple
Kohta lisätty 9.1.2024
libxml2
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-40303: Maddie Stone (Google Project Zero)
libxml2
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-40304: Ned Williamson ja Nathan Wachholz (Google Project Zero)
Preferences
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi kyetä käyttämään sattumanvaraisia valtuutuksia
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Kohta lisätty 6.6.2023
Safari
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.
CVE-2022-42849: Mickey Jin (@patch1t)
Sää
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-46703: Wojciech Reguła (@_r3ggi, SecuRing) ja Adam M.
Kohta lisätty 6.6.2023
Sää
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.
CVE-2022-42866: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.
Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Kohta lisätty 6.6.2023
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
WebKit Bugzilla: 245466
CVE-2022-46691: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi ohittaa saman alkuperän käytännön
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42852: hazbinhotel osana Trend Micro Zero Day Initiative ‑ohjelmaa
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja
Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.
CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: nimetön tutkija
Kiitokset
Kernel
Haluamme kiittää avusta Zweigia (Kunlun Lab).
Safari Extensions
Haluamme kiittää henkilöitä Oliver Dunk ja Christian R. (1Password) heidän avustaan.
WebKit
Haluamme kiittää nimetöntä tutkijaa ja scarletia heidän avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.