Tietoja watchOS 8.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 8.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 8.6
AppleAVD
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26702: nimetön tutkija, Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)
AppleAVD
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-22675: nimetön tutkija
DriverKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: rajojen ulkopuolisen muistin käyttöongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-26763: Linus Henze – Pinauten GmbH (pinauten.de)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26711: actae0n – Blacksun Hackers Club yhteistyössä Trend Micro Zero Day Initiativen kanssa
IOMobileFrameBuffer
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26768: nimetön tutkija
IOSurfaceAccelerator
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26771: nimetön tutkija
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) – STAR Labs (@starlabs_sg)
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26757: Ned Williamson – Google Project Zero
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26764: Linus Henze – Pinauten GmbH (pinauten.de)
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: kilpailutilanne on korjattu parantamalla tilankäsittelyä.
CVE-2022-26765: Linus Henze – Pinauten GmbH (pinauten.de)
LaunchServices
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: käyttöongelma on ratkaistu lisäämällä muiden valmistajien sovellusten eristysrajoituksia.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
libresolv
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: kokonaisluvun ylivuoto on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2022-26775: Max Shavrick (@_mxms) – Google Security Team
libresolv
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26708: Max Shavrick (@_mxms) – Google Security Team
libresolv
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)
libresolv
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: hyökkääjä voi saada aikaan ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26776: Max Shavrick (@_mxms, Google Security Team), Zubair Ashraf (Crowdstrike)
libxml2
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-23308
Security
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan allekirjoituksen vahvistuksen.
Kuvaus: varmenteiden jäsennysongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26766: Linus Henze – Pinauten GmbH (pinauten.de)
TCC
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Sovellus saattoi pystyä ottamaan kuvan käyttäjän näytöstä.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26700: ryuzaki
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-26709: Chijin Zhou – ShuiMuYuLin Ltd ja Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou – ShuiMuYuLin Ltd ja Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin (Theori)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-26716: SorryMybad (@S0rryMybad, Kunlun Lab)
CVE-2022-26719: Dongzhuo Zhao yhteistyössä Venustechin ADLabin kanssa
Wi-Fi
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haittaohjelma saattoi paljastaa rajoitetun muistin.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26745: Scarlet Raine
Wi-Fi
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haittaohjelma saattoi paljastaa rajoitetun muistin.
Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2022-26745: nimetön tutkija
Kiitokset
AppleMobileFileIntegrity
Haluamme kiittää Wojciech Regułaa (@_r3ggi, SecuRing) hänen avustaan.
WebKit
Haluamme kiittää James Leetä ja nimetöntä tutkijaa heidän antamastaan avusta.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.