Informacije o sigurnosnom sadržaju sustava watchOS 8.6
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 8.6.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 8.6
AppleAVD
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26702: anonimni istraživač, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleAVD
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-22675: anonimni istraživač
DriverKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: neke zlonamjerne aplikacije mogle bi uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s pristupom izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-26763: Linus Henze (Pinauten GmbH (pinauten.de))
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26711: actae0n (Blacksun Hackers Club) i inicijativa Zero Day (Trend Micro)
IOMobileFrameBuffer
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26768: anonimni istraživač
IOSurfaceAccelerator
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26771: anonimni istraživač
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) (STAR Labs (@starlabs_sg))
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26757: Ned Williamson (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26764: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: uvjet nadvladavanja riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26765: Linus Henze (Pinauten GmbH (pinauten.de))
LaunchServices
Dostupno za: Apple Watch Series 3 i novije
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s pristupom riješen je dodatnim ograničenjima memorije za testiranje na aplikacijama drugih proizvođača.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)
libresolv
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-26775: Max Shavrick (@_mxms) (Googleov tim za sigurnost)
libresolv
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26708: Max Shavrick (@_mxms) (Googleov tim za sigurnost)
libresolv
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32790: Max Shavrick (@_mxms) (Google Security Team)
libresolv
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadači bi mogli izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26776: Max Shavrick (@_mxms) (Google Security Team), Zubair Ashraf (Crowdstrike)
libxml2
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-23308
Security
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerne aplikacije mogle bi zaobići provjeru valjanosti potpisa
Opis: problem s raščlanjivanjem certifikata riješen je poboljšanim provjerama.
CVE-2022-26766: Linus Henze (Pinauten GmbH (pinauten.de))
TCC
Dostupno za: Apple Watch Series 3 i novije
Učinak: neke bi aplikacije mogle snimiti zaslon korisnika
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26700: ryuzaki
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin (Theori)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-26716: SorryMybad (@S0rryMybad) (Kunlun Lab)
CVE-2022-26719: Dongzhuo Zhao u suradnji s laboratorijem ADLab of Venustech
Wi-Fi
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerne aplikacije mogle bi otkriti ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26745: Scarlet Raine
Wi-Fi
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerne aplikacije mogle bi otkriti ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-26745: anonimni istraživač
Dodatna zahvala
AppleMobileFileIntegrity
Željeli bismo zahvaliti Wojciechu Regułi (@_r3ggi) (SecuRing) na pomoći.
WebKit
Na pomoći zahvaljujemo Jamesu Leeju i anonimnom istraživaču.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.