A watchOS 8.4 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 8.4 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 8.4

ColorSync

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-22584: Mickey Jin (@patch1t; Trend Micro)

Crash Reporter

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A rosszindulatú alkalmazások gyökérszintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2022-22578: Zhipeng Huo (@R3dF09) és Yuebin Sun (@yuebinsun2020; mindketten: Tencent Security Xuanwu Lab, xlab.tencent.com)

iCloud

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Előfordult, hogy az alkalmazások hozzá tudtak férni egy felhasználó fájljaihoz.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárítottuk el a problémát.

CVE-2022-22585: Zhipeng Huo (@R3dF09; Tencent Security Xuanwu Lab, https://xlab.tencent.com)

Kernel

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

CVE-2022-22593: Peter Nguyễn Vũ Hoàng (STAR Labs)

WebKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-22590: Toan Pham (Team Orca, Sea Security, security.sea.com)

WebKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása megakadályozhatta a Tartalombiztonsági szabályzat érvényesítését.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-22592: Prakash (@1lastBr3ath)

WebKit

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott levelek feldolgozásakor tetszőleges javascript futtatására került sor.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2022-22589: Heige (KnownSec 404 Team, knownsec.com) és Bo Qu (Palo Alto Networks, paloaltonetworks.com)

WebKit Storage

A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.

Érintett terület: A webhelyek nyomon tudtak követni bizalmas jellegű felhasználói információkat.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy kereszteredet-problémát az IndexDB API-ban.

CVE-2022-22594: Martin Bajanik (FingerprintJS)

További köszönetnyilvánítás

WebKit

Köszönjük Prakash (@1lastBr3ath) és bo13oy (Cyber Kunlun Lab) segítségét.