Mengenai konten keamanan watchOS 8.6
Dokumen ini menjelaskan konten keamanan watchOS 8.6.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 8.6
AppleAVD
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2022-26702: peneliti anonim, Antonio Zekic (@antoniozekic), dan John Aakerblom (@jaakerblom)
AppleAVD
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel. Apple mengetahui adanya laporan bahwa masalah ini mungkin telah dieksploitasi secara aktif.
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-22675: peneliti anonim
DriverKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah akses di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-26763: Linus Henze dari Pinauten GmbH (pinauten.de)
ImageIO
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26711: actae0n dari Blacksun Hackers Club yang bekerja sama dengan Zero Day Initiative dari Trend Micro
IOMobileFrameBuffer
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2022-26768: peneliti anonim
IOSurfaceAccelerator
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26771: peneliti anonim
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) dari STAR Labs (@starlabs_sg)
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2022-26757: Ned Williamson dari Google Project Zero
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26764: Linus Henze dari Pinauten GmbH (pinauten.de)
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2022-26765: Linus Henze dari Pinauten GmbH (pinauten.de)
LaunchServices
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan pada app pihak ketiga.
CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or dari Microsoft
libresolv
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-26775: Max Shavrick (@_mxms) dari Google Security Team
libresolv
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26708: Max Shavrick (@_mxms) dari Google Security Team
libresolv
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna dari jarak jauh dapat menyebabkan penolakan layanan
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32790: Max Shavrick (@_mxms) dari Google Security Team
libresolv
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang mungkin dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26776: Max Shavrick (@_mxms) dari Google Security Team, Zubair Ashraf dari Crowdstrike
libxml2
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang jarak jauh dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2022-23308
Security
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App berbahaya mungkin dapat melewati validasi tanda tangan
Deskripsi: Masalah penguraian sertifikat telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26766: Linus Henze dari Pinauten GmbH (pinauten.de)
TCC
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengambil gambar layar pengguna
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26726: Antonio Cheong Yu Xuan dari YCISCQ
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-26700: ryuzaki
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2022-26709: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher lab
CVE-2022-26710: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher lab
CVE-2022-26717: Jeonghoon Shin dari Theori
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2022-26716: SorryMybad (@S0rryMybad) dari Kunlun Lab
CVE-2022-26719: Dongzhuo Zhao bekerja sama dengan ADLab of Venustech
Wi-Fi
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26745: Scarlet Raine
Wi-Fi
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengungkap memori yang dibatasi
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-26745: peneliti anonim
Penghargaan tambahan
AppleMobileFileIntegrity
Kami ingin mengucapkan terima kasih kepada Wojciech Reguła (@_r3ggi) dari SecuRing atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada James Lee dan peneliti anonim atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.