Om sikkerhetsinnholdet i watchOS 8.5
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 8.5.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 8.5
Accelerate Framework
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22633: ryuzaki
AppleAVD
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2022-22611: Xingyu Jin fra Google
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til skade i heapen
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2022-22612: Xingyu Jin fra Google
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2022-22596: en anonym forsker
CVE-2022-22640: sqrtpwn
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.
CVE-2022-22613: Alex, en anonym forsker
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22614: en anonym forsker
CVE-2022-22615: en anonym forsker
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22632: Keegan Saunders
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En angriper i en privilegert posisjon kan utføre tjenestenekt
Beskrivelse: En dereferanse for en nullpeker ble løst med forbedret validering.
CVE-2022-22638: derrek (@derrekr6)
LaunchServices
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En app kan være i stand til å omgå enkelte personvernpreferanser
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30946: @gorelics og Ron Masas fra BreakPoint.sh
libarchive
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Flere problemer i libarchive
Beskrivelse: Det var flere problemer med skadet minne i libarchive. Problemene ble løst gjennom forbedret validering av inndata.
CVE-2021-36976
LLVM
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan være i stand til å slette filer som det ikke har tillatelse til
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2022-21658: Florian Weimer (@fweimer)
MediaRemote
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å identifisere hvilke andre programmer en bruker har installert
Beskrivelse: Et problem med tilgang ble løst med forbedrede tilgangsrestriksjoner.
CVE-2022-22670: Brandon Azad
Phone
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En bruker kan omgå spørsmålet om sikkerhetskode for Nødanrop (SOS)
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-22618: Yicong Ding (@AntonioDing)
Preferences
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å lese andre programmers innstillinger
Beskrivelse: Problemet ble løst gjennom flere tillatelseskontroller.
CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med brukergrensesnitt ble løst.
CVE-2022-22654: Abdullah Md Shaleh fra take0ver
Sandbox
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) fra Primefort Private Limited, Khiem Tran
Siri
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En person med fysisk tilgang til en enhet kan bruke Siri til å få stedsinformasjon fra låseskjermen
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2022-22599: Andrew Goldberg fra University of Texas i Austin, McCombs School of Business (linkedin.com/andrew-goldberg-/)
UIKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En person med fysisk tilgang til en iOS-enhet kan se sensitiv informasjon via tastaturforslag
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-22621: Joey Hewitt
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Et problem med informasjonskapsler ble løst med forbedret tilstandshåndtering.
CVE-2022-22662: Prakash (@1lastBr3ath) fra Threat Nix
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22610: Quan Yin fra Bigo Technology Live Client Team
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-22624: Kirin (@Pwnrin) fra Tencent Security Xuanwu Lab
CVE-2022-22628: Kirin (@Pwnrin) fra Tencent Security Xuanwu Lab
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2022-22629: Jeonghoon Shin fra Theori i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig nettsted kan forårsake uventet oppførsel
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-22637: Tom McKee fra Google
Ytterligere anerkjennelser
AirDrop
Vi vil gjerne takke Omar Espino (omespino.com), Ron Masas fra BreakPoint.sh for hjelpen.
Bluetooth
Vi vil gjerne takke en anonym forsker for hjelpen.
Face Gallery
Vi vil gjerne takke Tian Zhang (@KhaosT) for hjelpen.
Safari
Vi vil gjerne takke Konstantin Darutkin fra FingerprintJS (fingerprintjs.com) for hjelpen.
Shortcuts
Vi vil gjerne takke Baibhav Anand Jha fra Streamers Land for hjelpen.
Siri
Vi vil gjerne takke en anonym forsker for hjelpen.
syslog
Vi vil gjerne takke Yonghwi Jin (@jinmo123) fra Theori for hjelpen.
UIKit
Vi vil gjerne takke Tim Shadel fra Day Logger, Inc. for hjelpen.
Wallet
Vi vil gjerne takke en anonym forsker for hjelpen.
WebKit
Vi vil gjerne takke Abdullah Md Shaleh for hjelpen.
WebKit Storage
Vi vil gjerne takke Martin Bajanik fra FingerprintJS for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.