מידע על תוכן האבטחה של watchOS 8.7

מסמך זה מתאר את תוכן האבטחה של watchOS 8.7.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 8.7

הופץ ב-20 ביולי 2022

APFS

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עם הרשאות בסיס עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32832: טומי מוייר (‎@Muirey03)

AppleAVD

זמין עבור: Apple Watch Series 3 ואילך

השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה

תיאור: בעיית גלישת חוצץ טופלה בעזרת בדיקת טווח משופרת.

CVE-2022-32788: נטלי סילבנוביץ' מ-Google Project Zero

AppleAVD

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32824: אנטוניו זקיץ' (‎@antoniozekic) וג'ון אקרבלום (‎@jaakerblom)

AppleMobileFileIntegrity

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה לקבל הרשאות בסיס

תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32826: מיקי ג'ין (‎@patch1t) מ-Trend Micro

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine:‏ Apple Watch Series 4 ואילך

השפעה: אפליקציה עלולה להצליח לצאת מתוך ארגז החול

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32845: מוחמד גנם (‎@_simo36)

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine:‏ Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32840: מוחמד גנם (‎@_simo36)

Apple Neural Engine

זמין עבור מכשירים עם Apple Neural Engine:‏ Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32810: מוחמד גנם (‎@_simo36)

Audio

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-32820: חוקר אנונימי

Audio

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח לחשוף את זיכרון הליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32825: ג'ון אקרבלום (‎@jaakerblom)

CoreText

זמין עבור: Apple Watch Series 3 ואילך

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

CVE-2022-32839:‏ STAR Labs‏ (‎@starlabs_sg)

File System Events

זמין עבור: Apple Watch Series 3 ואילך

השפעה: יישום עלול להצליח לקבל הרשאות בסיס

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32819: ג'ושוע מייסון מ-Mandiant

GPU Drivers

זמין עבור: Apple Watch Series 3 ואילך

השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה

תיאור: בעיות מרובות של כתיבה מחוץ לטווח טופלו באמצעות בדיקת טווח משופרת.

CVE-2022-32793: חוקר אנונימי

GPU Drivers

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.

CVE-2022-32821: ג'ון אקרבלום (‎@jaakerblom)

ICU

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-32787: דוהיון לי (‎@l33d0hyun) מ-SSD Secure Disclosure Labs & DNSLab, אוניברסיטת קוריאה

ImageIO

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32841:‏ hjy79425575

JavaScriptCore

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד תוכן אינטרנט עלול להוביל להפעלת קוד שרירותי

תיאור: הבעיה טופלה באמצעות בדיקות טווח משופרות.

WebKit Bugzilla‏: 241931

CVE-2022-48503: דונגז'ואו ז'או בעבודה עם ADLab של Venustech ו-ז'אוהאי מ-Cyberpeace Tech Co., Ltd.‎.

הרשומה נוספה ב‑21 ביוני 2023

Kernel

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עם הרשאות בסיס עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32813: שינרו צ'י מ-Pangu Lab

CVE-2022-32815: שינרו צ'י מ-Pangu Lab

Kernel

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח לחשוף את זיכרון הליבה

תיאור: בעיית קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2022-32817: שינרו צ'י מ-Pangu Lab

Kernel

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עם יכולות קריאה וכתיבה שרירותיות של הליבה עלולה להצליח לעקוף אימות מצביע

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32844: סריג'ית' קרישנאן ר' (‎@skr0x1c0)

Liblouis

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-26981:‏ Hexhive‏ (hexhive.epfl.ch),‏ NCNIPC מסין (nipc.org.cn)

libxml2

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להדליף מידע רגיש אודות המשתמש

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2022-32823

Multi-Touch

זמין עבור: Apple Watch Series 3 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית בלבול בסוגים טופלה באמצעות בדיקות משופרות.

CVE-2022-32814: פאן ז'ן-פנג (‎@Peterpan0927)

Multi-Touch

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר במצב.

CVE-2022-32814: פאן ז'ן-פנג (‎@Peterpan0927)

Software Update

זמין עבור: Apple Watch Series 3 ואילך

השפעה: משתמש שהשיג הרשאות רשת יכול לעקוב אחר פעילות של משתמשים

תיאור: הבעיה טופלה באמצעות שימוש ב-HTTPS בעת שליחת מידע ברשת.

CVE-2022-32857: ג'פרי פול (sneak.berlin)

WebKit

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2022-32863: ‏P1umer(@p1umer), ‏afang(@afang5472) ו- xmzyshypnc(@xmzyshypnc1)

הרשומה נוספה ב‑8 ביוני 2023

WebKit

זמין עבור: Apple Watch Series 3 ואילך

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.

WebKit Bugzilla:‏ 239316

CVE-2022-32816: דוהיון לי (‎@l33d0hyun) מ-SSD Secure Disclosure Labs & DNSLab, אוניברסיטת קוריאה

WebKit

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla:‏ 240720

CVE-2022-32792‏: מאנפרד פול (‎@_manfp) בעבודה עם Trend Micro Zero Day Initiative

Wi-Fi

זמין עבור: Apple Watch Series 3 ואילך

השפעה: משתמש מרוחק עלול להצליח לגרום לסיום בלתי צפוי של המערכת או להשחית זיכרון ליבה

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-32847: וואנג יו מ-Cyberserval

תודות נוספות

AppleMobileFileIntegrity

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security, למיקי ג'ין (‎@patch1t) מ-Trend Micro ולוויצ'ך רגולה (‎@_r3ggi) מ-SecuRing על הסיוע.

configd

אנחנו מבקשים להודות לסאבה פיצל (‎@theevilbit) מ-Offensive Security, למיקי ג'ין (‎@patch1t) מ-Trend Micro ולוויצ'ך רגולה (‎@_r3ggi) מ-SecuRing על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: