Informacije o sigurnosnom sadržaju sustava watchOS 9

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 9.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 9

Objavljeno 12. rujna 2022.

Accelerate Framework

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2022-42795: ryuzaki

AppleAVD

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom), ABC Research sro, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla otkriti osjetljivo kernelsko stanje

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla zaobići Postavke privatnosti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

Exchange

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik na povlaštenom mrežnom položaju mogao bi presresti vjerodajnice e-pošte

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) (Check Point Research)

Unos je ažuriran 08. lipnja 2023.

GPU Drivers

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-32903: anonimni istraživač

ImageIO

Dostupno za: Apple Watch Series 4 i novije

Učinak: obrada slike mogla bi dovesti do prekida usluge

Opis: problem odbijanja usluge riješen je poboljšanom provjerom valjanosti.

CVE-2022-1622

Image Processing

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija u memoriji za testiranje mogla bi otkriti koja aplikacija trenutačno upotrebljava kameru

Opis: problem je riješen dodatnim ograničenjima uočljivosti stanja aplikacije.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacije su mogle izložiti kernelsku memoriju

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32864: Linus Henze (Pinauten GmbH (pinauten.de))

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem je riješen poboljšanim rukovanjem memorijom.

CVE-2022-32866: Linus Henze (Pinauten GmbH, pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2022-32914: Zweig (Kunlun Lab)

Kernel

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-32894: anonimni istraživač

Maps

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik bi si mogao povećati ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2022-32908: anonimni istraživač

Notifications

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik s fizičkim pristupom uređaju mogao bi pristupiti kontaktima sa zaključanog zaslona

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija bi mogla izmijeniti zaštićene dijelove datotečnog sustava

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2022-32881: Csaba Fitzl (@theevilbit) (Offensive Security)

Siri

Dostupno za: Apple Watch Series 4 i novije

Učinak: korisnik s fizičkim pristupom uređaju mogao bi upotrebljavati Siri za dobivanje informacija o povijesti poziva

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32870: Andrew Goldberg (Poslovna škola The McCombs School of Business, sveučilište University of Texas, Austin) (linkedin.com/in/andrew-goldberg-/)

SQLite

Dostupno za: Apple Watch Series 4 i novije

Učinak: udaljeni korisnik mogao bi uzrokovati odbijanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-36690

Watch app

Dostupno za: Apple Watch Series 4 i novije

Učinak: aplikacija može čitati trajni identifikator uređaja

Opis: ovaj je problem riješen poboljšanim pravima.

CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Weather

Dostupno za: Apple Watch Series 4 i novije

Učinak: određena aplikacija mogla bi čitati osjetljive podatke o lokaciji

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2022-32875: anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) u suradnji s inicijativom Trend Micro Zero Day

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: posjet web-mjestu koje sadrži okvire sa zlonamjernim sadržajem može dovesti do lažiranja korisničkog sučelja

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 4 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

WebKit Bugzilla: 243557
CVE-2022-32893: anonimni istraživač

Wi-Fi

Dostupno za: Apple Watch Series 4 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2022-46709: Wang Yu (Cyberserval)

Unos je dodan 8. lipnja 2023.

Wi-Fi

Dostupno za: Apple Watch Series 4 i novije

Učinak: neka bi aplikacija mogla izazvati neočekivani pad sustava ili zapisivati kernelsku memoriju

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2022-32925: Wang Yu (Cyberserval)

Dodatna zahvala

AppleCredentialManager

Željeli bismo zahvaliti osobi @jonathandata1 na pomoći.

FaceTime

Na pomoći zahvaljujemo anonimnom istraživaču.

Kernel

Na pomoći zahvaljujemo anonimnom istraživaču.

Mail

Na pomoći zahvaljujemo anonimnom istraživaču.

Safari

Željeli bismo zahvaliti Scott Hatfieldu (Sub-Zero Group) na pomoći.

Unos je dodan 8. lipnja 2023.

Sandbox

Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).

UIKit

Željeli bismo zahvaliti Aleczanderu Ewingu na pomoći.

WebKit

Na pomoći zahvaljujemo anonimnom istraživaču.

WebRTC

Na pomoći zahvaljujemo anonimnom istraživaču.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 16. siječnja 2024.