Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 9
Objavljeno 12. rujna 2022.
Accelerate Framework
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2022-42795: ryuzaki
AppleAVD
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom), ABC Research sro, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla zaobići Postavke privatnosti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Exchange
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik na povlaštenom mrežnom položaju mogao bi presresti vjerodajnice e-pošte
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)
Unos je ažuriran 08. lipnja 2023.
GPU Drivers
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32903: anonimni istraživač
ImageIO
Dostupno za: Apple Watch Series 4 i novije
Učinak: obrada slike mogla bi dovesti do prekida usluge
Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.
CVE-2022-1622
Image Processing
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru
Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacije su mogle izložiti kernelsku memoriju
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanim rukovanjem memorijom.
CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32894: anonimni istraživač
Maps
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik bi si mogao povećati ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2022-32908: anonimni istraživač
Notifications
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2022-32881: Csaba Fitzl (@theevilbit) (Offensive Security)
Siri
Dostupno za: Apple Watch Series 4 i novije
Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje informacija o povijesti poziva
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32870: Andrew Goldberg (Poslovna škola The McCombs School of Business, sveučilište University of Texas, Austin) (linkedin.com/in/andrew-goldberg-/)
SQLite
Dostupno za: Apple Watch Series 4 i novije
Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-36690
Watch app
Dostupno za: Apple Watch Series 4 i novije
Učinak: aplikacija može čitati trajni identifikator uređaja
Opis: ovaj je problem riješen poboljšanim pravima.
CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Weather
Dostupno za: Apple Watch Series 4 i novije
Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2022-32875: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) u suradnji s inicijativom Trend Micro Zero Day
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 4 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
WebKit Bugzilla: 243557
CVE-2022-32893: anonimni istraživač
Wi-Fi
Dostupno za: Apple Watch Series 4 i novije
Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2022-46709: Wang Yu (Cyberserval)
Unos je dodan 8. lipnja 2023.
Wi-Fi
Dostupno za: Apple Watch Series 4 i novije
Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2022-32925: Wang Yu (Cyberserval)
Dodatna zahvala
AppleCredentialManager
Željeli bismo zahvaliti osobi @jonathandata1 na pomoći.
FaceTime
Na pomoći zahvaljujemo anonimnom istraživaču.
Kernel
Na pomoći zahvaljujemo anonimnom istraživaču.
Na pomoći zahvaljujemo anonimnom istraživaču.
Safari
Željeli bismo zahvaliti Scott Hatfieldu (Sub-Zero Group) na pomoći.
Unos je dodan 8. lipnja 2023.
Sandbox
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).
UIKit
Željeli bismo zahvaliti Aleczanderu Ewingu na pomoći.
WebKit
Na pomoći zahvaljujemo anonimnom istraživaču.
WebRTC
Na pomoći zahvaljujemo anonimnom istraživaču.