A watchOS 9 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 9 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 9

Kiadás dátuma: 2022. szeptember 12.

Accelerate Framework

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2022-42795: ryuzaki

AppleAVD

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32907: Natalie Silvanovich (Google Project Zero), Antonio Zekic (@antoniozekic) és John Aakerblom (@jaakerblom, mindketten: ABC Research s.r.o), Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak bizalmas kernelállapotokat kiszivárogtatni

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások meg tudták kerülni az adatvédelmi beállításokat

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2022-32854: Holger Fuhrmannek (Deutsche Telekom Security)

Exchange

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A magas hálózati jogosultságú felhasználók meg tudták szerezni az e-mail-fiókok hitelesítési adatait.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri, Check Point Research)

Bejegyzés frissítve: 2023. június 8.

GPU Drivers

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32903: anonim kutató

ImageIO

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A képek feldolgozása szolgáltatásmegtagadáshoz vezethetett

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.

CVE-2022-1622

Image Processing

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A sandboxban lévő appok meg tudták határozni, hogy éppen melyik app használja a kamerát.

Leírás: Az appállapotok megfigyelhetőségének további korlátozásával hárítottuk el a problémát.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egyes alkalmazások képesek voltak felfedni a kernelmemóriát

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32864: Linus Henze (Pinauten GmbH, pinauten.de)

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottuk a problémát.

CVE-2022-32866: Linus Henze (Pinauten GmbH; pinauten.de)

CVE-2022-32911: Zweig (Kunlun Lab)

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2022-32914: Zweig (Kunlun Lab)

Kernel

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-32894: anonim kutató

Maps

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32883: Ron Masas (breakpointhq.com)

MediaLibrary

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A felhasználók magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-32908: anonim kutató

Notifications

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező felhasználók a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások képesek voltak módosítani a fájlrendszer védett elemeit

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2022-32881: Fitzl Csaba (@theevilbit; Offensive Security)

Siri

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A készülékhez fizikai hozzáféréssel rendelkező felhasználó Siri segítségével meg tudott szerezni néhány híváselőzményekkel kapcsolatos információt.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32870: Andrew Goldberg (The McCombs School of Business), The University (Texas at Austin, linkedin.com/in/andrew-goldberg-/)

SQLite

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: A távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2021-36690

Watch app

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Előfordult, hogy egy alkalmazás olvasni tudta az állandó készülékazonosítókat.

Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.

CVE-2022-32835: Guilherme Rambo (Best Buddy Apps, rambo.codes)

Weather

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az appok be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2022-32875: anonim kutató

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb memóriakezeléssel hárítottunk el egy puffertúlcsordulást okozó problémát.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli olvasási hibát.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a), a Trend Micro Zero Day Initiative közreműködőjeként

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Egy rosszindulatú tartalmakat tartalmazó webhely hozzá tudott férni a felhasználói felülethez

Leírás: A probléma a felhasználói felület hatékonyabb kezelésével hárult el.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, egy névtelen kutató

WebKit

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség. Az Apple tud egy jelentésről, mely szerint lehet, hogy ezt a problémát aktívan kihasználták.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

WebKit Bugzilla: 243557
CVE-2022-32893: anonim kutató

Wi-Fi

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani kernelszintű jogosultsággal

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2022-46709: Wang Yu (Cyberserval)

Bejegyzés hozzáadva: 2023. június 8.

Wi-Fi

A következőkhöz érhető el: Apple Watch Series 4 és újabb modellek.

Érintett terület: Az alkalmazások váratlan rendszerleállást tudtak előidézni, illetve írni tudtak a kernelmemóriába

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határértéken kívüli írási hibát.

CVE-2022-32925: Wang Yu (Cyberserval)

További köszönetnyilvánítás

AppleCredentialManager

Köszönjük @jonathandata1 segítségét.

FaceTime

Köszönjük egy anonim kutató segítségét.

Kernel

Köszönjük egy anonim kutató segítségét.

Mail

Köszönjük egy anonim kutató segítségét.

Safari

Köszönjük Scott Hatfield (Sub-Zero Group) segítségét.

Bejegyzés hozzáadva: 2023. június 8.

Sandbox

Köszönjük Fitzl Csaba (@theevilbit; Offensive Security) segítségét.

UIKit

Köszönjük Aleczander Ewing segítségét.

WebKit

Köszönjük egy anonim kutató segítségét.

WebRTC

Köszönjük egy anonim kutató segítségét.

 

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: