A watchOS 9.2 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 9.2 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 9.2
Kiadási dátum: 2022. december 13.
Accessibility
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A zárolt Apple Watchhoz fizikai hozzáféréssel rendelkező felhasználók meg tudták tekinteni a felhasználó fényképeit a kisegítő lehetőségek segítségével
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-46717: Zitong Wu (吴梓桐, Zhuhai No.1 Middle School, 珠海市第一中学)
Bejegyzés hozzáadva: 2023. június 6.
Accounts
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A felhasználók bizonyos esetben hozzá tudtak férni a bizalmas jellegű felhasználói információkhoz.
Leírás: Hatékonyabb adatvédelemmel hárítottuk el a problémát.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott videófájlok elemzésekor kernelkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46694: Andrey Labunets és Nikita Tarakanov
AppleMobileFileIntegrity
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Megerősített futtatási idővel hárítottuk el a problémát.
CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)
CoreServices
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: A veszélynek kitett kód eltávolításával több problémát elhárítottunk.
CVE-2022-42859: Mickey Jin (@patch1t), Fitzl Csaba (@theevilbit, Offensive Security)
ImageIO
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli írási hibát.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hiba lépett fel az URL-ek elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-42837: anonim kutató
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: További hitelesítéssel hárítottunk el egy versenyhelyzeti problémát.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A távoli felhasználók elő tudták idézni egy kernelkód végrehajtását
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges kódvégrehajtást tudtak előidézni kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42845: Adam Doupé (ASU SEFCOM)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést. Az Apple tisztában van vele, hogy a problémát kihasználhatták az iOS 15.7.1 előtt kiadott iOS-verziókban.
Leírás: Hatékonyabb ellenőrzésekkel küszöböltük ki a problémát.
CVE-2022-48618: Apple
Bejegyzés hozzáadva: 2024. január 9.
libxml2
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy egészszám-túlcsordulást okozó problémát.
CVE-2022-40303: Maddie Stone (Google Project Zero)
libxml2
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A távoli felhasználók váratlan appleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-40304: Ned Williamson és Nathan Wachholz (Google Project Zero)
Preferences
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok tetszőleges jogosultságokat tudtak használni.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Bejegyzés hozzáadva: 2023. június 6.
Safari
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni
Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozásokkal hárítottuk el a problémát.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-46703: Wojciech Reguła (@_r3ggi, SecuRing) és Adam M.
Bejegyzés hozzáadva: 2023. június 6.
Weather
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: A gyorsítótárak hatékonyabb kezelésével hárítottuk el a problémát.
CVE-2022-42866: anonim kutató
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webhelyek meglátogatásakor meghamisítható volt a címsáv.
Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.
CVE-2022-46705: Hyeon Park (@tree_segment, Team ApplePIE)
Bejegyzés hozzáadva: 2023. június 6.
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
WebKit Bugzilla: 245466
CVE-2022-46691: anonim kutató
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor megkerülhető volt a Same Origin szabályzat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-42852: hazbinhotel, a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor adott esetben felfedhetők voltak a bizalmas felhasználói adatok
Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy logikai hibát.
CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab), Korea Univ.
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: anonim kutató
További köszönetnyilvánítás
Kernel
Köszönjük Zweig (Kunlun Lab) segítségét.
Safari Extensions
Köszönjük Oliver Dunk és Christian R. (1Password) segítségét.
WebKit
Köszönjük egy anonim kutató és scarlet segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.