Tietoja watchOS 9:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 9:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 9

Julkaistu 12.9.2022

Accelerate Framework

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-42795: ryuzaki

AppleAVD

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia kernelin tilatietoja.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä ohittamaan yksityisyysasetukset

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

Exchange

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Etuoikeutetussa verkkoasemassa oleva hyökkääjä saattoi pystyä sieppaamaan postitunnistetiedot.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)

Kohta päivitetty 8.6.2023

GPU Drivers

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-32903: nimetön tutkija

ImageIO

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: kuvan käsittely saattoi aiheuttaa palveluneston.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla validointia.

CVE-2022-1622

Image Processing

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Eristetty appi pystyi mahdollisesti päättelemään, mikä appi käyttää kameraa.

Kuvaus: Ongelma on ratkaistu lisäämällä appien tilojen havaitsemisen rajoituksia.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2022-32914: Zweig (Kunlun Lab)

Kernel

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2022-32894: nimetön tutkija

Maps

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: käyttäjä saattoi pystyä hankkimaan laajemmat käyttöoikeudet

Kuvaus: muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-32908: nimetön tutkija

Notifications

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.

Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2022-32881: Csaba Fitzl (@theevilbit, Offensive Security)

Siri

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Käyttäjä, jolla oli fyysinen pääsy laitteeseen, saattoi käyttää Siriä joidenkin puheluhistoriatietojen saamiseen.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business, The University of Texas at Austin, linkedin.com/in/andrew-goldberg-/)

SQLite

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Etäkäyttäjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-36690

Watch app

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan pysyvän laitetunnisteen

Kuvaus: ongelma on ratkaistu parannetuilla oikeuksilla.

CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Weather

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä lukemaan luottamuksellisia sijaintitietoja.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32875: nimetön tutkija

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a, Theori) yhteistyössä Trend Micron Zero Day Initiativen kanssa

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen

Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, nimetön tutkija

WebKit

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

WebKit Bugzilla: 243557
CVE-2022-32893: nimetön tutkija

Wi-Fi

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-46709: Wang Yu (Cyberserval)

Kohta lisätty 8.6.2023

Wi-Fi

Saatavuus: Apple Watch Series 4 ja uudemmat

Vaikutus: appi saattoi saada järjestelmän sulkeutumaan odottamatta tai kirjoittaa kernel-muistiin.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2022-32925: Wang Yu (Cyberserval)

Kiitokset

AppleCredentialManager

Haluamme kiittää käyttäjää @jonathandata1 hänen avustaan.

FaceTime

Haluamme kiittää avusta nimetöntä tutkijaa.

Kernel

Haluamme kiittää avusta nimetöntä tutkijaa.

Mail

Haluamme kiittää avusta nimetöntä tutkijaa.

Safari

Haluamme kiittää Scott Hatfieldia (Sub-Zero Group) hänen avustaan.

Kohta lisätty 8.6.2023

Sandbox

Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.

UIKit

Haluamme kiittää Aleczander Ewingiä hänen avustaan.

WebKit

Haluamme kiittää avusta nimetöntä tutkijaa.

WebRTC

Haluamme kiittää avusta nimetöntä tutkijaa.

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: