Om sikkerhetsinnholdet i watchOS 9.2
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 9.2.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter med CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 9.2
Utgitt 13. desember 2022
Accessibility
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker med fysisk tilgang til en låst Apple Watch kan kanskje se brukerens bilder via tilgjengelighetsfunksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-46717: Zitong Wu(吴梓桐) fra Zhuhai No.1 Middle School(珠海市第一中学)
Oppføring lagt til 6. juni 2023
Accounts
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Problemet ble løst med forbedret databeskyttelse.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av en skadelig videofil kan føre til at kjernekode kjøres
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-46694: Andrey Labunets og Nikita Tarakanov
AppleMobileFileIntegrity
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan omgå personvernpreferanser
Beskrivelse: Problemet ble løst ved å aktivere «hardened runtime».
CVE-2022-42865: Wojciech Reguła (@_r3ggi) fra SecuRing
CoreServices
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan omgå personvernpreferanser
Beskrivelse: Flere problemer ble løst ved at den sårbare koden ble fjernet.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit) fra Offensive Security
ImageIO
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Det var et problem med behandling av nettadresser. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2022-42837: en anonym forsker
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.
CVE-2022-43454: Adam Doupé hos ASU SEFCOM
Oppføring lagt til 6. mars 2025
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan utilsiktet kjøre kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2022-46689: Ian Beer fra Google Project Zero
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-42842: pattern-f (@pattern_F_) fra Ant Security Light-Year Lab
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-42845: Adam Doupé fra ASU SEFCOM
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen. Apple er klar over en rapport om at dette problemet kan ha blitt utnyttet mot versjoner av iOS utgitt før iOS 15.7.1.
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-48618: Apple
Oppføring lagt til 09. januar 2024
libxml2
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2022-40303: Maddie Stone fra Google Project Zero
libxml2
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En ekstern bruker kan være i stand til å forårsake uventet appavslutning eller kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2022-40304: Ned Williamson og Nathan Wachholz fra Google Project Zero
Maps
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv brukerinformasjon
Beskrivelse: Dette problemet ble løst med forbedret tilstandshåndtering.
CVE-2022-48610: Adam M.
Oppføring lagt til 6. mars 2025
Preferences
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan være i stand til å bruke utilsiktede rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-42855: Ivan Fratric fra Google Project Zero
Oppføring lagt til 6. juni 2023
Safari
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til forfalskning av brukergrensesnitt
Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Det var et problem med tilgangen til privilegerte API-kall. Problemet ble løst gjennom ekstra restriksjoner.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-46703: Wojciech Reguła (@_r3ggi) hos SecuRing og Adam M.
Oppføring lagt til 6. juni 2023
Weather
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av buffere.
CVE-2022-42866: Adam M.
Oppføring lagt til 16. august 2024
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Det var et problem med forfalskning i håndteringen av URL-adresser. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2022-46705: Hyeon Park (@tree_segment) fra Team ApplePIE
Oppføring lagt til 6. juni 2023
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone fra Google Project Zero
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
WebKit Bugzilla: 245466
CVE-2022-46691: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan omgå regelen for samme opprinnelse (Same Origin)
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-42852: hazbinhotel i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß fra Google V8 Security
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß fra Google V8 Security
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst med forbedrede kontroller.
CVE-2022-46698: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs og DNSLab, Korea Univ.
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß fra Google V8 Security
WebKit Bugzilla: 244622
CVE-2022-42863: en anonym forsker
Ytterligere anerkjennelser
Kernel
Vi vil gjerne takke Zweig fra Kunlun Lab for hjelpen.
Safari Extensions
Vi vil gjerne takke Oliver Dunk og Christian R. fra 1Password for hjelpen.
WebKit
Vi vil gjerne takke en anonym forsker og scarlet for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.