Informacije o sigurnosnom sadržaju sustava watchOS 8.4

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 8.4.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 8.4

ColorSync

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2022-22584: Mickey Jin (@patch1t) (Trend Micro)

Crash Reporter

Dostupno za: Apple Watch Series 3 i novije

Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti

Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.

CVE-2022-22578: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov sigurnosni odjel Xuanwu Lab (xlab.tencent.com))

iCloud

Dostupno za: Apple Watch Series 3 i novije

Učinak: aplikacija je mogla pristupiti korisnikovim datotekama

Opis: u logici za provjeru valjanosti puta za simboličke veze postojao je problem. Taj je problem riješen poboljšanim čišćenjem puta.

CVE-2022-22585: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab (https://xlab.tencent.com))

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2022-22593: Peter Nguyễn Vũ Hoàng (STAR Labs)

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-22590: Toan Pham (Tim Orca, Sea Security (security.sea.com))

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obrada zlonamjerno izrađenog web sadržaja može spriječiti provođenje pravila za zaštitu sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-22592: Prakash (@1lastBr3ath)

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obrada zlonamjerno izrađene e-mail poruke može dovesti do pokretanja proizvoljnog javascript koda

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2022-22589: Heige (KnownSec, tim 404 (knownsec.com)) i Bo Qu (Palo Alto Networks (paloaltonetworks.com))

WebKit Storage

Dostupno za: Apple Watch Series 3 i novije

Učinak: neko web-mjesto možda će moći pratiti osjetljive korisničke podatke

Opis: problem više izvora u API-ju IndexDB riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-22594: Martin Bajanik (FingerprintJS)

Dodatna zahvala

WebKit

Željeli bismo zahvaliti Prakashu (@1lastBr3ath) i bo13oyu (Cyber Kunlun Lab) na pomoći.