A watchOS 8.6 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 8.6 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 8.6

Kiadás dátuma: 2022. május 16.

AppleAVD

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-26702: anonim kutató, Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom)

Bejegyzés frissítve: 2023. június 6.

AppleAVD

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-22675: egy anonim kutató

DriverKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli hozzáférési hibát.

CVE-2022-26763: Linus Henze (Pinauten GmbH; pinauten.de)

ImageIO

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2022-26711: actae0n (Blacksun Hackers Club), a Trend Micro Zero Day Initiative közreműködőjeként

IOMobileFrameBuffer

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26768: egy anonim kutató

IOSurfaceAccelerator

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26771: egy anonim kutató

Kernel

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14, STAR Labs; @starlabs_sg)

Kernel

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-26757: Ned Williamson (Google Project Zero)

Kernel

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A már kernelszintű kódvégrehajtási jogosultságot szerzett támadók megkerülhették a kernelmemória használatára vonatkozó korlátozásokat.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26764: Linus Henze (Pinauten GmbH; pinauten.de)

Kernel

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A rosszindulatú támadók tetszőleges olvasási és írási képesség birtokában megkerülhették a Mutatóhitelesítést.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy versenyhelyzeti problémát.

CVE-2022-26765: Linus Henze (Pinauten GmbH; pinauten.de)

LaunchServices

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Elhárítottunk egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettünk be a külső fejlesztésű alkalmazások esetén.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or (Microsoft)

Bejegyzés frissítve 2022. július 6.

libresolv

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy egészszám-túlcsordulást okozó problémát.

CVE-2022-26775: Max Shavrick (@_mxms; Google Security Team)

Bejegyzés hozzáadva: 2022. június 21.

libresolv

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A támadó bizonyos esetekben képes volt váratlanul leállítani az alkalmazásokat, valamint tetszőleges programkódot végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26708: Max Shavrick (@_mxms; Google Security Team)

Bejegyzés hozzáadva: 2022. június 21.

libresolv

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32790: Max Shavrick (@_mxms, Google Security Team)

Bejegyzés hozzáadva: 2022. június 21.

libresolv

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A támadó bizonyos esetekben képes volt váratlanul leállítani az alkalmazásokat, valamint tetszőleges programkódot végrehajtani

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26776: Max Shavrick (@_mxms, Google Security Team), Zubair Ashraf (Crowdstrike)

Bejegyzés hozzáadva: 2022. június 21.

libxml2

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-23308

Security

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A rosszindulatú alkalmazások meg tudták kerülni az aláírás-érvényesítést.

Leírás: Hatékonyabb ellenőrzésekkel elhárítottunk egy tanúsítványelemzési problémát.

CVE-2022-26766: Linus Henze (Pinauten GmbH; pinauten.de)

TCC

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Előfordult, hogy az alkalmazások rögzíteni tudták a felhasználó képernyőjét.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-26726: Antonio Cheong Yu Xuan (YCISCQ)

Bejegyzés frissítve: 2023. június 6.

WebKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou (ShuiMuYuLin Ltd. és Tsinghua wingtecher lab)

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin (Theori)

WebKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad; Kunlun Lab)

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao, a Venustech ADLab közreműködőjeként

Wi-Fi

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A rosszindulatú alkalmazások fel tudtak fedni korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26745: Scarlet Raine

Bejegyzés hozzáadva 2022. július 6.

Wi-Fi

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A rosszindulatú alkalmazások fel tudtak fedni korlátozott memóriát.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-26745: egy anonim kutató

További köszönetnyilvánítás

AppleMobileFileIntegrity

Köszönjük Wojciech Reguła (@_r3ggi; SecuRing) segítségét.

WebKit

Köszönjük James Lee és egy anonim kutató segítségét.

Bejegyzés frissítve: 2022. május 25.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: