Informacije o sigurnosnom sadržaju sustava watchOS 8.7

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 8.7.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 8.7

Izdano 20. srpnja 2022.

APFS

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Dostupno za: Apple Watch Series 3 i novije

Učinak: udaljeni korisnik mogao bi uzrokovati izvršavanje kernelskog koda

Opis: problem s prekoračenjem spremnika riješen je poboljšanom provjerom ograničenja.

CVE-2022-32788: Natalie Silvanovich (Google Project Zero)

AppleAVD

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32824: Antonio Zekić (@antoniozekic) i John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32826: Mickey Jin (@patch1t) (Trend Micro)

Apple Neural Engine

Dostupne za uređaje koji imaju Apple Neural Engine: Apple Watch Series 4 i noviji

Učinak: aplikacije bi mogle izaći izvan ograničene memorije

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Dostupne za uređaje koji imaju Apple Neural Engine: Apple Watch Series 4 i noviji

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Dostupne za uređaje koji imaju Apple Neural Engine: Apple Watch Series 4 i noviji

Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-32820: anonimni istraživač

Audio

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreText

Dostupno za: Apple Watch Series 3 i novije

Učinak: udaljeni korisnik može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama ograničenja.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacije bi mogle dobiti korijenske ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32819: Joshua Mason (Mandiant)

GPU Drivers

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: veći broj problema sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-32793: anonimni istraživač

GPU Drivers

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2022-32821: John Aakerblom (@jaakerblom)

ICU

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište

ImageIO

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjerne slike može doći do otkrivanja procesne memorije

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32841: hjy79425575

JavaScriptCore

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom web sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem je riješen poboljšanim provjerama ograničenja.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao, ADLab (Venustech) i ZhaoHai (Cyberpeace Tech Co., Ltd)

Unos je dodan 21. lipnja 2023.

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacija s korijenskim ovlastima mogla bi izvršiti proizvoljni kod s kernelskim ovlastima

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32813: Xinru Chi (Pangu Lab)

CVE-2022-32815: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-32817: Xinru Chi (Pangu Lab)

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacija s mogućnošću proizvoljnog kernelskog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacija može prouzročiti neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC Kine (nipc.org.cn)

libxml2

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacija bi mogla otkriti osjetljive korisničke podatke

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2022-32823

Multi-Touch

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem sa zamjenom tipova riješen je poboljšanim provjerama.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Multi-Touch

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Dostupno za: Apple Watch Series 3 i novije

Učinak: korisnik s povlaštenim mrežnim položajem mogao bi pratiti aktivnosti korisnika

Opis: problem je riješen upotrebom HTTPS-a prilikom slanja podataka preko mreže.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) i xmzyshypnc (@xmzyshypnc1)

Unos je dodan 8. lipnja 2023.

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) (SSD Secure Disclosure Labs) & DNSLab, Korejsko sveučilište

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem sa zapisivanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) u suradnji sa zajednicom Trend Micro Zero Day Initiative

Wi-Fi

Dostupno za: Apple Watch Series 3 i novije

Učinak: udaljeni korisnik može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32847: Wang Yu (Cyberserval)

Dodatna zahvala

AppleMobileFileIntegrity

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).

configd

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security), Mickeyju Jinu (@patch1t) (Trend Micro) i Wojciechu Regułi (@_r3ggi) (SecuRing).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 02. studenoga 2023.