Om sikkerhetsinnholdet i watchOS 8.7

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 8.7.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

watchOS 8.7

Utgitt 20. juli 2022

APFS

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern bruker kan være i stand til å kjøre kjernekode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret grensekontroll.

CVE-2022-32788: Natalie Silvanovich fra Google Project Zero

AppleAVD

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32824: Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan være i stand til å få rotrettigheter

Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32826: Mickey Jin (@patch1t) fra Trend Micro

Apple Neural Engine

Tilgjengelig for enheter med Apple Neural Engine: Apple Watch Series 4 og nyere

Virkning: En app kan bryte ut av sandkassen

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Tilgjengelig for enheter med Apple Neural Engine: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Tilgjengelig for enheter med Apple Neural Engine: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

CVE-2022-32820: en anonym forsker

Audio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreText

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern bruker kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan være i stand til å få rotrettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32819: Joshua Mason fra Mandiant

GPU Drivers

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Flere problemer med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-32793: en anonym forsker

GPU Drivers

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2022-32821: John Aakerblom (@jaakerblom)

ICU

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-32787: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til at prosessminne avsløres

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32841: hjy79425575

JavaScriptCore

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom forbedret grensekontroll.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao i samarbeid med ADLab fra Venustech og ZhaoHai fra Cyberpeace Tech Co., Ltd.

Oppføring lagt til 21. juni 2023

Kernel

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app med rotrettigheter kan være i stand til å kjøre utilsiktet kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32813: Xinru Chi fra Pangu Lab

CVE-2022-32815: Xinru Chi fra Pangu Lab

Kernel

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Et problem med lesing utenfor bufferen ble løst gjennom forbedret bufferverdikontroll.

CVE-2022-32817: Xinru Chi fra Pangu Lab

Kernel

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app med muligheter for vilkårlig lesing og skriving til kjernen kan klare å forbigå pekergodkjenningen

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan forårsake uventet avslutning av en app eller utføring av vilkårlig kode

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC fra Kina (nipc.org.cn)

libxml2

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.

CVE-2022-32823

Multi-Touch

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret kontroll.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Multi-Touch

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En bruker i en privilegert nettverksposisjon kan spore en brukers aktivitet

Beskrivelse: Dette problemet ble løst ved å bruke HTTPS ved sending av informasjon over nettverket.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) og xmzyshypnc (@xmzyshypnc1)

Oppføring lagt til 8. juni 2023

WebKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning

Problemet ble løst gjennom forbedret håndtering av grensesnittet.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun) fra SSD Secure Disclosure Labs & DNSLab, Korea Univ.

WebKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor bufferen ble løst gjennom forbedret validering av inndata.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) i samarbeid med Trend Micro Zero Day Initiative

Wi-Fi

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern bruker kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32847: Wang Yu fra Cyberserval

Ytterligere anerkjennelser

AppleMobileFileIntegrity

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.

configd

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security, Mickey Jin (@patch1t) fra Trend Micro og Wojciech Reguła (@_r3ggi) fra SecuRing for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: 02. november 2023