מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 9
הופץ ב-12 בספטמבר 2022
Accelerate Framework
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.
CVE-2022-42795: ryuzaki
AppleAVD
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32907: נטלי סילבנוביץ' מ-Google Project Zero, אנטוניו זקיץ' (@antoniozekic) וג'ון אייקרבלום (@jaakerblom), ABC Research s.r.o., ייני וו, תומסו ביאנקו (@cutesmilee__)
Apple Neural Engine
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להדליף מצב ליבה רגיש
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32858: מוחמד ע'נם (@_simo36)
Apple Neural Engine
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32898: מוחמד ע'נם (@_simo36)
CVE-2022-32899: מוחמד ע'נם (@_simo36)
CVE-2022-32889: מוחמד ע'נם (@_simo36)
Contacts
זמין עבור: Apple Watch Series 4 ואילך
השפעה: אפליקציה עלולה להצליח לעקוף את העדפות הפרטיות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2022-32854: הולגר פורמאנק מ-Deutsche Telekom Security
Exchange
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש במיקום מורשה ברשת עלול להצליח ליירט אישורי דואר
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32928: ז'ירי וינופל (@vinopaljiri) מ-Check Point Research
הערך עודכן ב‑8 יוני 2023
GPU Drivers
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-32903: חוקר אנונימי
ImageIO
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תמונה עלול לגרום למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות משופר.
CVE-2022-1622
Image Processing
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום בארגז חול עלול להצליח לקבוע איזה יישום משתמש כעת במצלמה
תיאור: הבעיה טופלה באמצעות הגבלות נוספות בנוגע לנראות של מצבי יישומים.
CVE-2022-32913: ייגיט ג'ן ילמז (@yilmazcanyigit)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לחשוף את זיכרון הליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32864: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: הבעיה טופלה באמצעות טיפול משופר בזיכרון.
CVE-2022-32866: לינוס הנצה מ-Pinauten GmbH (pinauten.de)
CVE-2022-32911: צווייג מ-Kunlun Lab
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2022-32914: צווייג מ-Kunlun Lab
Kernel
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32894: חוקר אנונימי
Maps
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32883: רון מסאס מ-breakpointhq.com
MediaLibrary
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2022-32908: חוקר אנונימי
Notifications
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש שיש לו גישה פיזית למכשיר עלול להצליח לגשת לאנשי קשר ממסך הנעילה
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32879: עוביידולה סומר
Sandbox
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח לשנות חלקים מוגנים במערכת הקבצים
תיאור: בעיה לוגית טופלה באמצעות הגבלות משופרות.
CVE-2022-32881: סאבה פיצל (@theevilbit) מ-Offensive Security
Siri
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש בעל גישה פיזית למכשיר עלול להצליח להשתמש ב-Siri כדי להשיג מידע על היסטוריית שיחות
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32870: אנדרו גולדברג מביה"ס למינהל עסקים ע"ש מק'קומבס, אוניברסיטת טקסס באוסטין (linkedin.com/in/andrew-goldberg-/)
SQLite
זמין עבור: Apple Watch Series 4 ואילך
השפעה: משתמש מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2021-36690
Watch app
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ייתכן שאפליקציה תוכל לקרוא מזהה מכשיר קבוע
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2022-32835: גילהרם רמבו מ-Best Buddy Apps (rambo.codes)
Weather
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום
תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.
CVE-2022-32875: חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית גלישת חוצץ טופלה באמצעות טיפול משופר בזיכרון.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 242762
CVE-2022-32912: ג'ונגהון שין (singi21a@) ב-Theori בעבודה עם Zero¬Day¬Initiative של Trend¬Micro
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש
תיאור: הבעיה טופלה באמצעות טיפול משופר בממשק המשתמש.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, חוקר אנונימי
WebKit
זמין עבור: Apple Watch Series 4 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי. Apple מודעת לדיווח על כך שייתכן שבעיה זו נוצלה באופן פעיל.
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
WebKit Bugzilla: 243557
CVE-2022-32893: חוקר אנונימי
Wi-Fi
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2022-46709: וואנג יו מ-Cyberserval
הרשומה נוספה ב‑8 ביוני 2023
Wi-Fi
זמין עבור: Apple Watch Series 4 ואילך
השפעה: יישום עלול להצליח להביא לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2022-32925: וואנג יו מ-Cyberserval
תודות נוספות
AppleCredentialManager
אנחנו מבקשים להודות ל-@jonathandata1 על הסיוע.
FaceTime
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Kernel
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
Safari
אנחנו מבקשים להודות לסקוט האטפילד מ-Sub-Zero Group על הסיוע.
הרשומה נוספה ב‑8 ביוני 2023
Sandbox
אנחנו מבקשים להודות לסאבה פיצל (@theevilbit) מ-Offensive Security על הסיוע.
UIKit
אנחנו מבקשים להודות לאלכסנדר יואינג על הסיוע.
WebKit
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.
WebRTC
אנחנו מבקשים להודות לחוקר אנונימי על הסיוע.