מידע על תוכן האבטחה של watchOS 9.2
מסמך זה מתאר את תוכן האבטחה של watchOS 9.2.
מידע על עדכוני האבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 9.2
הופץ ב‑13 בדצמבר 2022
Accessibility
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש בעל גישה פיזית ל-Apple Watch נעול עשוי להיות מסוגל לראות תמונות של משתמש באמצעות תכונות נגישות
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2022-46717: Zitong Wu(吴梓桐) מ-Zhuhai No.1 Middle School(珠海市第一中学)
הרשומה נוספה ב‑6 ביוני 2023
Accounts
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.
CVE-2022-42843: Mickey Jin (patch1t@)
AppleAVD
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל להפעלת קוד ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-46694: אנדריי לאבונץ וניקיטה טרקאנוב
AppleMobileFileIntegrity
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).
CVE-2022-42865: וויצ'ך רגולה (@_r3ggi) מ-SecuRing
CoreServices
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות
תיאור: מספר בעיות טופלו על ידי הסרת הקוד הפגיע.
CVE-2022-42859: Mickey Jin (patch1t@), צ'אבה פיצל (theevilbit@) מ-Offensive Security
ImageIO
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מרוץ טופל באמצעות טיפול משופר במצבים.
CVE-2022-42864: טומי מוייר (Muirey03@)
IOMobileFrameBuffer
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.
CVE-2022-46690: ג'ון אקרבלום (jaakerblom@)
iTunes Store
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: הייתה בעיה בניתוח כתובות URL. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-42837: חוקר אנונימי
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מצב מירוץ טופל באמצעות אימות נוסף.
CVE-2022-46689: איאן ביר מ-Google Project Zero
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42842: pattern-f (_pattern_F@) מ-Ant Security Light-Year Lab
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42845: אדם דופה מ-ASU SEFCOM
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.
תיאור: הבעיה טופלה באמצעות בדיקות משופרות.
CVE-2022-48618: Apple
הרשומה נוספה ב‑9 בינואר 2024
libxml2
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.
CVE-2022-40303: מאדי סטון מ-Google Project Zero
libxml2
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-40304: נד וויליאמסון ונתן ואחולץ מ-Google Project Zero
Preferences
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להשתמש בזכאויות שרירותיות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-42855: איוון פרטריץ' מ-Google Project Zero
הרשומה נוספה ב‑6 ביוני 2023
Safari
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-46695: קירטיקומר אנדראו רמצ'נדאני
Software Update
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בקריאות של API בעלי הרשאות הייתה בעיית גישה. בעיה זו טופלה באמצעות הגבלות נוספות.
CVE-2022-42849: Mickey Jin (patch1t@)
Weather
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) מ-SecuRing ו-Adam M.
הרשומה נוספה ב‑6 ביוני 2023
Weather
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.
CVE-2022-42866: חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2022-46705: Hyeon Park (@tree_segment) מ-Team ApplePIE
הרשומה נוספה ב‑6 ביוני 2023
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
WebKit Bugzilla: 245521
CVE-2022-42867: מאדי סטון מ-Google Project Zero
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 245466
CVE-2022-46691: חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות אותו מקור
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 246783
CVE-2022-46692: קירטיקומר אננדראו רמצ'נדאני
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-42852: hazbinhotel יחד עם Trend Micro Zero Day Initiative
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
WebKit Bugzilla: 246942
CVE-2022-46696: סמואל גרוס מ-Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: סמואל גרוס מ-Google V8 Security
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לגילוי מידע רגיש של משתמשים
תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.
CVE-2022-46698: דוהיון לי (l33d0hyun@) מ-SSD Secure Disclosure Labs & DNSLab, אוניברסיטת קוריאה.
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
WebKit Bugzilla: 247420
CVE-2022-46699: סמואל גרוס מ-Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: חוקר אנונימי
תודות נוספות
Kernel
אנחנו מבקשים להודות לצווייג מ-Kunlun Lab על הסיוע.
Safari Extensions
אנחנו מבקשים להודות לאוליבר דאנק ולכריסטיאן ר' מ-1Password על הסיוע.
WebKit
אנחנו מבקשים להודות לחוקר אנונימי ול-scarlet על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.