Tietoja watchOS 9.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 9.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 9.2

Julkaistu 13.12.2022

Accessibility

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: käyttäjä, jolla oli fyysinen pääsy lukittuun Apple Watchiin, saattoi pystyä katsomaan käyttäjän valokuvia käyttöaputoimintojen kautta.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-46717: Zitong Wu (吴梓桐) (Zhuhai No.1 Middle School, 珠海市第一中学)

Kohta lisätty 6.6.2023

Accounts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja

Kuvaus: Ongelma on ratkaistu parantamalla tietojen suojausta.

CVE-2022-42843: Mickey Jin (@patch1t)

AppleAVD

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen videotiedoston jäsentäminen saattoi aiheuttaa kernel-koodin suorittamisen

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-46694: Andrey Labunets ja Nikita Tarakanov

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: ongelma ratkaistiin ottamalla käyttöön vahvistettu suorituksenaikainen suojaus.

CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)

CoreServices

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: useita ongelmia ratkaistiin poistamalla haavoittuvuuden aiheuttanut koodi.

CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit, Offensive Security)

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-46693: Mickey Jin (@patch1t)

IOHIDFamily

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.

CVE-2022-42864: Tommy Muir (@Muirey03)

IOMobileFrameBuffer

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-46690: John Aakerblom (@jaakerblom)

iTunes Store

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: URL-osoitteiden jäsentämisessä oli ongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2022-42837: nimetön tutkija

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2022-46689: Ian Beer (Google Project Zero)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42845: Adam Doupé (ASU SEFCOM)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää ennen iOS 15.7.1 ‑versiota julkaistuissa iOS-versioissa.

Kuvaus: ongelma on ratkaistu parantamalla tarkastuksia.

CVE-2022-48618: Apple

Kohta lisätty 9.1.2024

libxml2

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-40303: Maddie Stone (Google Project Zero)

libxml2

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-40304: Ned Williamson ja Nathan Wachholz (Google Project Zero)

Preferences

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi kyetä käyttämään sattumanvaraisia valtuutuksia

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-42855: Ivan Fratric (Google Project Zero)

Kohta lisätty 6.6.2023

Safari

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.

Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2022-46695: KirtiKumar Anandrao Ramchandani

Software Update

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2022-42849: Mickey Jin (@patch1t)

Sää

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-46703: Wojciech Reguła (@_r3ggi, SecuRing) ja Adam M.

Kohta lisätty 6.6.2023

Sää

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: ongelma on ratkaistu parantamalla välimuistien käsittelyä.

CVE-2022-42866: nimetön tutkija

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: URL-osoitteiden käsittelyssä oli väärennysongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)

Kohta lisätty 6.6.2023

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

WebKit Bugzilla: 245521

CVE-2022-42867: Maddie Stone (Google Project Zero)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 245466

CVE-2022-46691: nimetön tutkija

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi ohittaa saman alkuperän käytännön

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

WebKit Bugzilla: 246783

CVE-2022-46692: KirtiKumar Anandrao Ramchandani

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42852: hazbinhotel osana Trend Micro Zero Day Initiative ‑ohjelmaa

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 246942

CVE-2022-46696: Samuel Groß (Google V8 Security)

WebKit Bugzilla: 247562

CVE-2022-46700: Samuel Groß (Google V8 Security)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja

Kuvaus: logiikkaongelma ratkaistiin parantamalla tarkistuksia.

CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

WebKit Bugzilla: 247420

CVE-2022-46699: Samuel Groß (Google V8 Security)

WebKit Bugzilla: 244622

CVE-2022-42863: nimetön tutkija

Kiitokset

Kernel

Haluamme kiittää avusta Zweigia (Kunlun Lab).

Safari Extensions

Haluamme kiittää henkilöitä Oliver Dunk ja Christian R. (1Password) heidän avustaan.

WebKit

Haluamme kiittää nimetöntä tutkijaa ja scarletia heidän avustaan.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: