Tietoja watchOS 8.5:n turvallisuussisällöstä

LTässä asiakirjassa kerrotaan watchOS 8.5:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 8.5

Accelerate Framework

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-22633: ryuzaki

AppleAVD

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat. Marc Schoenefeldia

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-22611: Xingyu Jin (Google)

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi johtaa keon vioittumiseen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-22612: Xingyu Jin (Google)

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2022-22596: nimetön tutkija

CVE-2022-22640: sqrtpwn

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2022-22613: Alex, nimetön tutkija

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-22614: nimetön tutkija

CVE-2022-22615: nimetön tutkija

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-22632: Keegan Saunders

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etuoikeutetussa asemassa ollut hyökkääjä saattoi pystyä toteuttamaan palvelunestohyökkäyksen.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.

CVE-2022-22638: derrek (@derrekr6)

LaunchServices

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan tietyt yksityisyysasetukset.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30946: @gorelics ja Ron Masas (BreakPoint.sh)

libarchive

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Libarchivessa oli useita ongelmia.

Kuvaus: libarchivessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-36976

LLVM

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Ohjelma saattoi pystyä poistamaan tiedostoja, joihin sillä ei ole lupaa

Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.

CVE-2022-21658: Florian Weimer (@fweimer)

MediaRemote

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallinen appi saattoi kyetä tunnistamaan muita käyttäjän asentamia appeja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä käyttöoikeusrajoituksia.

CVE-2022-22670: Brandon Azad

Phone

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Käyttäjä saattoi pystyä ohittamaan Hätätila SOS -toiminnon pääsykoodikehotteen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-22618: Yicong Ding (@AntonioDing)

Preferences

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä lukemaan muiden appien asetuksia.

Kuvaus: ongelma ratkaistiin lisäämällä käyttöoikeuksien tarkistuksia.

CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)

Safari

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Käyttöliittymäongelma on ratkaistu.

CVE-2022-22654: Abdullah Md Shaleh (take0ver)

Sandbox

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04, Primefort Private Limited) ja Khiem Tran

Siri

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Henkilö, jolla oli fyysinen pääsy laitteelle, saattoi pystyä saamaan haltuunsa sijaintitietoja käyttämällä Siriä lukitulla näytöllä.

Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2022-22599: Andrew Goldberg (University of Texas, Austin, McCombs School of Business) (linkedin.com/andrew-goldberg-/)

UIKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteelle, saattoi pystyä näkemään arkaluonteisia tietoja näppäimistöehdotusten kautta.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-22621: Joey Hewitt

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja.

Kuvaus: Evästeiden hallintaongelma ratkaistiin parantamalla tilan hallintaa.

CVE-2022-22662: Prakash (@1lastBr3ath, Threat Nix)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-22610: Quan Yin (Bigo Technology, Live Client Team)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-22624: Kirin (@Pwnrin, Tencent Security Xuanwu Lab)

CVE-2022-22628: Kirin (@Pwnrin, Tencent Security Xuanwu Lab)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-22629: Jeonghoon Shin (Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallinen sivusto saattoi aiheuttaa odottamatonta eri lähteiden välistä toimintaa.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-22637: Tom McKee (Google)

Kiitokset

AirDrop

Haluamme kiittää Omar Espinoa (omespino.com) ja Ron Masasia (BreakPoint.sh) heidän avustaan.

Bluetooth

Haluamme kiittää avusta nimetöntä tutkijaa.

Face Gallery

Haluamme kiittää Tian Zhangia (@KhaosT) hänen avustaan.

Safari

Haluamme kiittää Konstantin Darutkinia (FingerprintJS, fingerprintjs.com) hänen avustaan.

Shortcuts

Haluamme kiittää Baibhav Anand Jhata (Streamers Land) hänen avustaan.

Siri

Haluamme kiittää avusta nimetöntä tutkijaa.

syslog

Haluamme kiittää Yonghwi Jiniä (@jinmo123, Theori) hänen avustaan.

UIKit

Haluamme kiittää Tim Shadelia (Day Logger, Inc.) hänen avustaan.

Wallet

Haluamme kiittää avusta nimetöntä tutkijaa.

WebKit

Haluamme kiittää Abdullah Md Shalehia hänen avustaan.

WebKit Storage

Haluamme kiittää Martin Bajanikia (FingerprintJS) hänen avustaan.