אודות תוכן האבטחה של watchOS 9.1
מסמך זה מתאר את תוכן האבטחה של watchOS 9.1.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 9.1
AppleMobileFileIntegrity
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה זו טופלה באמצעות הסרת הרשאות נוספות.
CVE-2022-42825: מיקי ג'ין (patch1t@)
Apple Neural Engine
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32932: מוחמד ג'אנאם (@_simo36)
Audio
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ניתוח קובץ שמע בעל מבנה זדוני עלול להוביל לחשיפת המידע של משתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42798: אנונימי שעובד עם Trend Micro Zero Day Initiative
AVEVideoEncoder
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32940: ABC Research s.r.o.
CFNetwork
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד אישור בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בטיפול ב-WKWebView הייתה בעיית אימות אישורים. בעיה זו טופלה באמצעות שיפור האימות.
CVE-2022-42813: ג'ונתן זאנג מ-Open Computing Facility (ocf.berkeley.edu)
GPU Drivers
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32947: אסאהי לינה (@LinaAsahi)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להיות מסוגל לגרום לסיום מערכת בלתי צפוי או לבצע קוד בעל הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-46712: טומי מוייר (@Muirey03)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32924: איאן ביר מ-Google Project Zero
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-42808: צווייג מ-Kunlun Lab
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32944: טים מישו (TimGMichaud@) מ-Moveworks.ai
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2022-42803: שין-רו צ'י מ-Pangu Lab, ג'ון אקרבלום (@jaakerblom)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.
CVE-2022-32926: טים מישו (@TimGMichaud) מ-Moveworks.ai
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-42801: איאן ביר מ-Google Project Zero
Safari
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר בעל מבנה זדוני עלול להדליף נתונים רגישים
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42817: מיר מסעוד עלי, סטודנט לדוקטורט, אוניברסיטת אילינוי בשיקגו; בינוי צ'יטלה, סטודנט לתואר שני, אוניברסיטת סטוני ברוק; מוחמד ג'אסמישריף, מועמד לדוקטורט, אוניברסיטת אילינוי בשיקגו; כריס קניץ', פרופסור חבר, אוניברסיטת אילינוי בשיקגו
Sandbox
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לגשת לנתונים רגישים אודות המשתמש
תיאור: בעיית גישה טופלה באמצעות הגבלות 'ארגז חול' נוספות.
CVE-2022-42811: ג'סטין בוי (@slyd0g) מ-Snowflake
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
CVE-2022-42799: ג'י-וואן קים (@gPayl0ad), דו-היון לי (@l33d0hyun)
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42823: דו-היון לי (@l33d0hyun) מ-SSD Labs
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד של תוכן אינטרנט זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42824: עבדולרחמן אלקבאנדי מ-Microsoft Browser Vulnerability Research, ריאן שין מ-IAAI SecLab באוניברסיטת קוריאה, דווהיון לי (@l33d0hyun) מ-DNSLab באוניברסיטת קוריאה
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפת המצבים הפנימיים של האפליקציה
תיאור: בעיית נכונות טופלה ב-JIT באמצעות בדיקות משופרות.
CVE-2022-32923: וון-יונג ג'ונג (@nonetype_pwn) מ-KAIST Hacking Lab
zlib
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש עשוי לגרום לסגירת אפליקציה או להפעלת קוד שרירותי באופן בלתי צפוי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-37434: יבגני לגרוב
CVE-2022-42800: יבגני לגרוב
תודות נוספות
iCloud
אנחנו מבקשים להודות לטים מישו (@TimGMichaud) מ-Moveworks.ai על הסיוע.
Kernel
אנו מבקשים להודות לפיטר נגויאן מ-STAR Labs, טים מישו (@TimGMichaud) מ-Moveworks.ai וטומי מוייר (@Muirey03) על הסיוע.
WebKit
אנו מבקשים להודות למאדי סטון מ-Google Project Zero, נרנדרה בהאטי (@imnarendrabhati) מ-Suma Soft Pvt. Ltd. וחוקר אנונימי על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.