מידע על תוכן האבטחה של watchOS 9.2

מסמך זה מתאר את תוכן האבטחה של watchOS 9.2.

מידע על עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת ויש גרסאות חדשות או תיקונים זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 9.2

הופץ ב‑13 בדצמבר 2022

Accessibility

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש בעל גישה פיזית ל-Apple Watch נעול עשוי להיות מסוגל לראות תמונות של משתמש באמצעות תכונות נגישות

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2022-46717: ‏Zitong Wu(吴梓桐) מ-Zhuhai No.1 Middle School(珠海市第一中学)

הרשומה נוספה ב‑6 ביוני 2023

Accounts

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש עלול להצליח לצפות במידע רגיש אודות המשתמש

תיאור: בעיה זו טופלה באמצעות הגנת נתונים משופרת.

CVE-2022-42843: מיקי ג'ין (patch1t@)

AppleAVD

זמין עבור: Apple Watch Series 4 ואילך

השפעה: ניתוח קובץ וידאו בעל מבנה זדוני עלול להוביל להפעלת קוד ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-46694: אנדריי לאבונץ וניקיטה טרקאנוב

AppleMobileFileIntegrity

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: בעיה זו טופלה על ידי הפעלת מצב Hardened Runtime (סביבת זמן ריצה מוגנת).

CVE-2022-42865: וויצ'ך רגולה (‎@_r3ggi) מ-SecuRing

CoreServices

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח לעקוף את העדפות הפרטיות

תיאור: מספר בעיות טופלו על ידי הסרת הקוד הפגיע.

CVE-2022-42859: מיקי ג'ין (patch1t@), צ'אבה פיצל (theevilbit@) מ-Offensive Security

ImageIO

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד קובץ בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-46693: מיקי ג'ין (‎@patch1t)

IOHIDFamily

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות טיפול משופר במצבים.

CVE-2022-42864: טומי מוייר (Muirey03@)

IOMobileFrameBuffer

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות אימות קלט משופר.

CVE-2022-46690: ג'ון אקרבלום (jaakerblom@)

iTunes Store

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: הייתה בעיה בניתוח כתובות URL. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-42837: חוקר אנונימי

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2022-46689: איאן ביר מ-Google Project Zero

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש מרוחק עלול להצליח לגרום להפעלת קוד ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2022-42842‏: pattern-f ‏(_pattern_F@) מ-Ant Security Light-Year Lab

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עם הרשאות בסיס עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2022-42845: אדם דופה מ-ASU SEFCOM

Kernel

זמין עבור: Apple Watch Series 4 ואילך

השפעה: תוקף עם יכולות קריאה וכתיבה שרירותיות עלול לעקוף אימות מצביע. Apple מודעת לדיווח שלפיו ייתכן שבעיה זו נוצלה לרעה נגד גרסאות iOS שפורסמו לפני iOS 15.7.1.

תיאור: הבעיה טופלה באמצעות בדיקות משופרות.

CVE-2022-48618:‏ Apple

הרשומה נוספה ב‑9 בינואר 2024

libxml2

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: גלישה נומרית טופלה באמצעות אימות קלט משופר.

CVE-2022-40303: מאדי סטון מ-Google Project Zero

libxml2

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש מרוחק עשוי לגרום לסיום בלתי צפוי של פעולת יישום או להפעלת קוד שרירותי

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2022-40304: נד וויליאמסון ונתן ואחולץ מ-Google Project Zero

Preferences

זמין עבור: Apple Watch Series 4 ואילך

השפעה: אפליקציה עלולה להשתמש בזכאויות שרירותיות

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

CVE-2022-42855:‏ איוון פרטריץ' מ-Google Project Zero

הרשומה נוספה ב‑6 ביוני 2023

Safari

זמין עבור: Apple Watch Series 4 ואילך

השפעה: ביקור באתר שכולל תוכן זדוני עלול להוביל לזיוף זהות בממשק המשתמש

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-46695: קירטיקומר אנדראו רמצ'נדאני

Software Update

זמין עבור: Apple Watch Series 4 ואילך

השפעה: משתמש עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בקריאות של API בעלי הרשאות הייתה בעיית גישה. בעיה זו טופלה באמצעות הגבלות נוספות.

CVE-2022-42849: מיקי ג'ין (patch1t@)

Weather

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: בעיית לוגיקה טופלה באמצעות הגבלות משופרות.

CVE-2022-46703‏: Wojciech Reguła ‏(@_r3ggi) מ-SecuRing וחוקר אנונימי

הרשומה נוספה ב‑6 ביוני 2023

Weather

זמין עבור: Apple Watch Series 4 ואילך

השפעה: יישום עלול לקרוא מידע רגיש אודות המיקום

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרונות מטמון.

CVE-2022-42866: חוקר אנונימי

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.

CVE-2022-46705‏: Hyeon Park ‏(@tree_segment) מ-Team ApplePIE

הרשומה נוספה ב‑6 ביוני 2023

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

WebKit Bugzilla:‏ 245521
CVE-2022-42867: מאדי סטון מ-Google Project Zero

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה בצריכת זיכרון נפתרה באמצעות טיפול משופר בזיכרון.

WebKit Bugzilla:‏ 245466
CVE-2022-46691: חוקר אנונימי

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול לעקוף את מדיניות אותו מקור

תיאור: בעיית לוגיקה טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla:‏ 246783
CVE-2022-46692: קירטיקומאר אננדראו רמצ'נדאני

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: הבעיה נפתרה באמצעות טיפול משופר בזיכרון.

CVE-2022-42852: ‏hazbinhotel יחד עם Trend Micro Zero Day Initiative

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

WebKit Bugzilla:‏ 246942
CVE-2022-46696: סמואל גרוס מ-Google V8 Security

WebKit Bugzilla:‏ 247562
CVE-2022-46700: סמואל גרוס מ-Google V8 Security

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עשוי להביא לחשיפת מידע רגיש של משתמשים

תיאור: בעיית לוגיקה טופלה באמצעות בדיקות משופרות.

CVE-2022-46698: דוהיון לי (l33d0hyun@) מ-SSD Secure Disclosure Labs & DNSLab, ‏אוניברסיטת קוריאה.

WebKit

זמין עבור: Apple Watch Series 4 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

WebKit Bugzilla:‏ 247420
CVE-2022-46699: סמואל גרוס מ-Google V8 Security

WebKit Bugzilla:‏ 244622
CVE-2022-42863: חוקר אנונימי

תודות נוספות

Kernel

אנחנו מבקשים להודות לצווייג מ-Kunlun Lab על הסיוע.

Safari Extensions

אנחנו מבקשים להודות לאוליבר דאנק ולכריסטיאן ר' מ-1Password על הסיוע.

WebKit

אנחנו מבקשים להודות לחוקר אנונימי ול-scarlet על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 16 בינואר 2024

מועיל?