Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 9.2
Releasedatum: 13 december 2022
Accessibility
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een gebruiker met fysieke toegang tot een vergrendelde Apple Watch kan mogelijk foto's van gebruikers bekijken via toegankelijkheidsfuncties
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-46717: Zitong Wu(吴梓桐) van Zhuhai No.1 Middle School(珠海市第一中学)
Toegevoegd op 6 juni 2023
Accounts
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een gebruiker kan mogelijk vertrouwelijke gebruikersinformatie bekijken
Beschrijving: dit probleem is verholpen door verbeterde gegevensbescherming.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het parseren van een kwaadwillig vervaardigd videobestand kan leiden tot het uitvoeren van kernelcode
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46694: Andrey Labunets en Nikita Tarakanov
AppleMobileFileIntegrity
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: dit probleem is verholpen door hardened runtime in te schakelen.
CVE-2022-42865: Wojciech Reguła (@_r3ggi) van SecuRing
CoreServices
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: meerdere problemen zijn verholpen door de kwetsbare code te verwijderen.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) van Offensive Security
ImageIO
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door een verbeterde statusverwerking.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door verbeterde invoervalidatie.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een externe gebruiker kan onverwachte beëindiging van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: er was een probleem met het parseren van URL's. Dit probleem is verholpen door verbeterde invoervalidatie.
CVE-2022-42837: een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door aanvullende validatie.
CVE-2022-46689: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een externe gebruiker kan het uitvoeren van kernelcode veroorzaken
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42842: pattern-f (@pattern_F_) van Ant Security Light-Year Lab
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app met rootbevoegdheden kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42845: Adam Doupé van ASU SEFCOM
Kernel
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen. Apple is op de hoogte van een melding dat er mogelijk misbruik is gemaakt van dit probleem in versies van iOS die zijn uitgebracht vóór iOS 15.7.1.
Beschrijving: het probleem is verholpen door verbeterde controles.
CVE-2022-48618: Apple
Toegevoegd op 9 januari 2024
libxml2
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een externe gebruiker kan onverwachte beëindiging van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2022-40303: Maddie Stone van Google Project Zero
libxml2
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een externe gebruiker kan het onverwacht beëindigen van apps of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2022-40304: Ned Williamson en Nathan Wachholz van Google Project Zero
Preferences
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2022-42855: Ivan Fratric van Google Project Zero
Toegevoegd op 6 juni 2023
Safari
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een bezoek aan een website met kwaadaardige inhoud kan leiden tot het vervalsen van de gebruikersinterface
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een gebruiker kan de bevoegdheden verhogen
Beschrijving: er was een toegangsprobleem met geprivilegieerde API-aanroepen. Dit probleem is opgelost door extra beperkingen.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) van SecuRing en een anonieme onderzoeker
Toegevoegd op 6 juni 2023
Weather
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: een app kan vertrouwelijke locatiegegevens lezen
Beschrijving: het probleem is verholpen door verbeterde verwerking van caches.
CVE-2022-42866: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het bezoeken van een kwaadaardige website kan leiden tot adresbalkvervalsing
Beschrijving: er was een probleem met vervalsing bij de verwerking van URL's. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2022-46705: Hyeon Park (@tree_segment) van Team ApplePIE
Toegevoegd op 6 juni 2023
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone van Google Project Zero
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugengebruik is verholpen door verbeterde geheugenverwerking.
WebKit Bugzilla: 245466
CVE-2022-46691: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan het Same Origin-beleid omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: het probleem is verholpen door verbeterde geheugenverwerking.
CVE-2022-42852: hazbinhotel in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde invoervalidatie.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß van Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß van Google V8 Security
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een logicaprobleem is verholpen door verbeterde controles.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) van SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Beschikbaar voor: Apple Watch Series 4 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß van Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: een anonieme onderzoeker
Aanvullende erkenning
Kernel
Met dank aan Zweig van Kunlun Lab voor de hulp.
Safari Extensions
Met dank aan Oliver Dunk en Christian R. van 1Password voor de hulp.
WebKit
Met dank aan een anonieme onderzoeker en scarlet voor de hulp.