Informacije o sigurnosnom sadržaju sustava watchOS 9.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 9.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 9.1

Objavljeno 24. listopada 2022.

AppleMobileFileIntegrity

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem je riješen uklanjanjem dodatnih prava.

CVE-2022-42825: Mickey Jin (@patch1t)

Apple Neural Engine

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Unos dodan 27. listopada 2022.

Audio

Dostupno za: Apple Watch Series 4 i novije

Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-42798: anonimni istraživač i inicijativa Zero Day (Trend Micro)

Unos dodan 27. listopada 2022.

AVEVideoEncoder

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2022-32940: ABC Research s.r.o.

CFNetwork

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog certifikata moglo bi doći do pokretanja proizvoljnog koda

Opis: u rukovanju objektom WKWebView otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2022-42813: Jonathan Zhang (Open Computing Facility (ocf.berkeley.edu))

GPU Drivers

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla uzrokovati neočekivano zatvaranje sustava ili potencijalno izvršavanje koda uz kernelske ovlasti

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-46712: Tommy Muir (@Muirey03)

Unos je dodan 6. lipnja 2023.

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32924: Ian Beer (Google Project Zero)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-42808: Zweig (Kunlun Lab)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32944: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Unos dodan 27. listopada 2022.

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.

CVE-2022-42803: Xinru Chi (Pangu Lab), John Aakerblom (@jaakerblom)

Unos dodan 27. listopada 2022.

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2022-32926: Tim Michaud (@TimGMichaud) (Moveworks.ai)

Unos dodan 27. listopada 2022.

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: logički problem riješen je poboljšanim provjerama.

CVE-2022-42801: Ian Beer (Google Project Zero)

Unos dodan 27. listopada 2022.

Safari

Dostupno za: Apple Watch Series 4 i novije

Učinak: posjetom zlonamjernom web-mjestu mogli bi se odati osjetljivi podaci

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-42817: Mir Masood Ali, doktorant (Sveučilište u Illinoisu, Chicago); Binoy Chitale, magistrant (Sveučilište Stony Brook); Mohammad Ghasemisharif, kandidat za doktorat (Sveučilište u Illinoisu, Chicago); Chris Kanich, docent (Sveučilište u Illinoisu, Chicago)

Unos dodan 27. listopada 2022.

Sandbox

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla pristupiti osjetljivima korisničkim podacima

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2022-42811: Justin Bui (@slyd0g) (Snowflake)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje korisničkog sučelja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 243693

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 244622

CVE-2022-42823: Dohyun Lee (@l33d0hyun) (SSD Labs)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

WebKit Bugzilla: 245058

CVE-2022-42824: Abdulrahman Alqabandi (Microsoft Browser Vulnerability Research), Ryan Shin (IAAI SecLab na Sveučilištu u Koreji), Dohyun Lee (@l33d0hyun) (DNSLab na Sveučilištu u Koreji)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obrada zlonamjernog web-sadržaja može otkriti interna stanja aplikacije

Opis: problem s ispravnošću u JIT-u riješen je poboljšanim provjerama.

WebKit Bugzilla: 242964

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) (KAIST Hacking Lab)

Unos dodan 27. listopada 2022.

zlib

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik bi mogao uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-37434: Jevgenij Legerov

CVE-2022-42800: Jevgenij Legerov

Unos dodan 27. listopada 2022.

Dodatna zahvala

iCloud

Željeli bismo zahvaliti Timu Michaudu (@TimGMichaud) (Moveworks.ai) na pomoći.

Kernel

Željeli bismo zahvaliti Peteru Nguyenu (STAR Labs), Timu Michaudu (@TimGMichaud) (Moveworks.ai), Tommyju Muiru (@Muirey03) na pomoći.

WebKit

Željeli bismo zahvaliti Maddie Stone (Google Project Zero), Narendri Bhatiju (@imnarendrabhati) (Suma Soft Pvt. Ltd.) i anonimnom istraživaču na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 31. listopada 2023.