A watchOS 9 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 9 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 9
Accelerate Framework
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.
CVE-2022-42795: ryuzaki
AppleAVD
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom, mindketten: ABC Research s.r.o), Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)
Exchange
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A magas hálózati jogosultságú felhasználók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)
GPU Drivers
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32903: anonim kutató
ImageIO
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2022-1622
Image Processing
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.
Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.
CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)
CVE-2022-32911: Zweig (Kunlun Lab)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2022-32914: Zweig (Kunlun Lab)
Kernel
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32894: anonim kutató
Maps
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32883: Ron Masas (breakpointhq.com)
MediaLibrary
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-32908: anonim kutató
Notifications
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit
Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.
CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)
Siri
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével meg tudott szerezni néhány híváselőzményekkel kapcsolatos információt.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32870: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/in/andrew-goldberg-/)
SQLite
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2021-36690
Watch app
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Előfordult, hogy egy alkalmazás olvasni tudta az állandó készülékazonosítókat.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)
Weather
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2022-32875: anonim kutató
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32888: P1umer (@p1umer)
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.
CVE-2022-32912: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez
Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.
CVE-2022-32891: @real_as3617, egy névtelen kutató
WebKit
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32893: anonim kutató
Wi-Fi
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2022-46709: Wang Yu (Cyberserval)
Wi-Fi
A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.
Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.
CVE-2022-32925: Wang Yu (Cyberserval)
További köszönetnyilvánítás
AppleCredentialManager
Köszönjük @jonathandata1 segítségét.
FaceTime
Köszönjük egy anonim kutató segítségét.
Kernel
Köszönjük egy anonim kutató segítségét.
Köszönjük egy anonim kutató segítségét.
Safari
Köszönjük Scott Hatfield (Sub-Zero Group) segítségét.
Sandbox
Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.
UIKit
Köszönjük Aleczander Ewing segítségét.
WebKit
Köszönjük egy anonim kutató segítségét.
WebRTC
Köszönjük egy anonim kutató segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.