Informacije o sigurnosnom sadržaju sustava watchOS 8.7
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 8.7.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 8.7
APFS
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda
Opis: problem s prekoračenjem spremnika riješen je poboljšanom provjerom ograničenja.
CVE-2022-32788: Natalie Silvanovich (Google Project Zero)
AppleAVD
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32824: Antonio Zekić (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32826: Mickey Jin (@patch1t) (Trend Micro)
Apple Neural Engine
Dostupne za uređaje koji imaju Apple Neural Engine: Apple Watch Series 4 i noviji
Učinak: aplikacije bi mogle izaći izvan ograničene memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupne za uređaje koji imaju Apple Neural Engine: Apple Watch Series 4 i noviji
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupne za uređaje koji imaju Apple Neural Engine: Apple Watch Series 4 i noviji
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32820: anonimni istraživač
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreText
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacije bi mogle dobiti korijenske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32819: Joshua Mason (Mandiant)
GPU Drivers
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: veći broj problema sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32793: anonimni istraživač
GPU Drivers
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2022-32821: John Aakerblom (@jaakerblom)
ICU
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32841: hjy79425575
JavaScriptCore
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem je riješen poboljšanim provjerama ograničenja.
CVE-2022-48503: Dongzhuo Zhao, ADLab (Venustech) i ZhaoHai (Cyberpeace Tech Co., Ltd)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32813: Xinru Chi (Pangu Lab)
CVE-2022-32815: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32817: Xinru Chi (Pangu Lab)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC Kine (nipc.org.cn)
libxml2
Dostupno za: Apple Watch Series 3 i novije
Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32823
Multi-Touch
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Dostupno za: Apple Watch Series 3 i novije
Učinak: korisnik s povlaštenim mrežnim položajem mogao bi pratiti aktivnosti korisnika
Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) i xmzyshypnc (@xmzyshypnc1)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32792: Manfred Paul (@_manfp) u suradnji sa zajednicom Trend Micro Zero Day Initiative
Wi-Fi
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32847: Wang Yu (Cyberserval)
Dodatna zahvala
AppleMobileFileIntegrity
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).
configd
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.