Over de beveiligingsinhoud van watchOS 8.6

In dit document wordt de beveiligingsinhoud van watchOS 8.6 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 8.6

Releasedatum: 16 mei 2022

AppleAVD

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-26702: een anonieme onderzoeker, Antonio Zekic (@antoniozekic) en John Aakerblom (@jaakerblom)

Bijgewerkt op 6 juni 2023

AppleAVD

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-22675: een anonieme onderzoeker

DriverKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een schadelijk programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met de toegang buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2022-26763: Linus Henze van Pinauten GmbH (pinauten.de)

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2022-26711: actae0n van Blacksun Hackers Club in samenwerking met Trend Micro Zero Day Initiative

IOMobileFrameBuffer

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-26768: een anonieme onderzoeker

IOSurfaceAccelerator

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2022-26771: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-26714: Peter Nguyễn Vũ Hoàng (@peternguyen14) van STAR Labs (@starlabs_sg)

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-26757: Ned Williamson van Google Project Zero

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-26764: Linus Henze van Pinauten GmbH (pinauten.de)

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.

CVE-2022-26765: Linus Henze van Pinauten GmbH (pinauten.de)

LaunchServices

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen

Beschrijving: een toegangsprobleem is verholpen met aanvullende sandboxbeperkingen in programma's van derden.

CVE-2022-26706: Arsenii Kostromin (0x3c3e), Jonathan Bar Or van Microsoft

Bijgewerkt op 6 juli 2022

libresolv

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.

CVE-2022-26775: Max Shavrick (@_mxms) van het Google Security Team

Toegevoegd op 21 juni 2022

libresolv

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-26708: Max Shavrick (@_mxms) van het Google Security Team

Toegevoegd op 21 juni 2022

libresolv

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe gebruiker kan een denial-of-service veroorzaken

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-32790: Max Shavrick (@_mxms) van het Google Security Team

Toegevoegd op 21 juni 2022

libresolv

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een aanvaller kan het onverwacht beëindigen van een programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: dit probleem is verholpen door verbeterde controles.

CVE-2022-26776: Max Shavrick (@_mxms) van het Google Security Team, Zubair Ashraf van Crowdstrike

Toegevoegd op 21 juni 2022

libxml2

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2022-23308

Security

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een schadelijke app kan ondertekeningvalidatie omzeilen

Beschrijving: een probleem met het parseren van certificaten is verholpen door middel van verbeterde controles.

CVE-2022-26766: Linus Henze van Pinauten GmbH (pinauten.de)

TCC

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een app kan het scherm van een gebruiker vastleggen

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2022-26726: Antonio Cheong Yu Xuan van YCISCQ

Bijgewerkt op 6 juni 2023

WebKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 238178

CVE-2022-26700: ryuzaki

WebKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

WebKit Bugzilla: 236950

CVE-2022-26709: Chijin Zhou van ShuiMuYuLin Ltd en Tsinghua wingtecher lab

WebKit Bugzilla: 237475

CVE-2022-26710: Chijin Zhou van ShuiMuYuLin Ltd en Tsinghua wingtecher lab

WebKit Bugzilla: 238171

CVE-2022-26717: Jeonghoon Shin van Theori

WebKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

WebKit Bugzilla: 238183

CVE-2022-26716: SorryMybad (@S0rryMybad) van Kunlun Lab

WebKit Bugzilla: 238699

CVE-2022-26719: Dongzhuo Zhao in samenwerking met ADLab van Venustech

Wi-Fi

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een schadelijk programma kan beperkt geheugen vrijgeven

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-26745: Scarlet Raine

Toegevoegd op 6 juli 2022

Wi-Fi

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een schadelijk programma kan beperkt geheugen vrijgeven

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.

CVE-2022-26745: een anonieme onderzoeker

Aanvullende erkenning

AppleMobileFileIntegrity

Met dank aan Wojciech Reguła (@_r3ggi) van SecuRing voor de hulp.

WebKit

Met dank aan James Lee en een anonieme onderzoeker voor de hulp.

Bijgewerkt op 25 mei 2022

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: