Tietoja watchOS 9:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 9:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 9
Accelerate Framework
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-42795: ryuzaki
AppleAVD
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Exchange
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)
GPU Drivers
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32903: nimetön tutkija
ImageIO
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.
CVE-2022-1622
Image Processing
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.
Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32894: nimetön tutkija
Maps
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet
Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2022-32908: nimetön tutkija
Notifications
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)
Siri
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä joidenkin puheluhistoriatietojen saamiseen.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/in/andrew-goldberg-/)
SQLite
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-36690
Watch app
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan pysyvän laitetunnisteen
Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.
CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Weather
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2022-32875: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen
Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.
CVE-2022-32891: @real_as3617, nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32893: nimetön tutkija
Wi-Fi
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2022-46709: Wang Yu (Cyberserval)
Wi-Fi
Saatavuus: Apple Watch Series 4 ja uudemmat
Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2022-32925: Wang Yu (Cyberserval)
Kiitokset
AppleCredentialManager
Haluamme kiittää käyttäjää @jonathandata1 hänen avustaan.
FaceTime
Haluamme kiittää avusta nimetöntä tutkijaa.
Kernel
Haluamme kiittää avusta nimetöntä tutkijaa.
Haluamme kiittää avusta nimetöntä tutkijaa.
Safari
Haluamme kiittää Scott Hatfieldia (Sub-Zero Group) hänen avustaan.
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
UIKit
Haluamme kiittää Aleczander Ewingiä hänen avustaan.
WebKit
Haluamme kiittää avusta nimetöntä tutkijaa.
WebRTC
Haluamme kiittää avusta nimetöntä tutkijaa.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.