Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 9
Utgitt 12. september 2022
Accelerate Framework
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2022-42795: ryuzaki
AppleAVD
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32907: Natalie Silvanovich fra Google Project Zero, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan lekke sensitiv kjernetilstand
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan være i stand til å omgå personvernpreferanser
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2022-32854: Holger Fuhrmannek fra Deutsche Telekom Security
Exchange
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å fange opp e-postlegitimasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) fra Check Point Research
Oppføring oppdatert 8. juni 2023
GPU Drivers
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-32903: en anonym orsker
ImageIO
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av et bilde kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.
CVE-2022-1622
Image Processing
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket
Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan avsløre kjerneminne
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.
CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig fra Kunlun Lab
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2022-32914: Zweig fra Kunlun Lab
Kernel
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32894: en anonym forsker
Maps
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32883: Ron Masas fra breakpointhq.com
MediaLibrary
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker kan være i stand til å utvide rettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2022-32908: en anonym forsker
Notifications
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security
Siri
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En bruker med fysisk tilgang til en enhet kan være i stand til å bruke Siri til å få tak i enkelte opplysninger om anropsloggen
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32870: Andrew Goldberg fra The McCombs School of Business, The University of Texas i Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En ekstern bruker kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-36690
Watch app
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kanskje lese en vedvarende enhetsidentifikator
Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.
CVE-2022-32835: Guilherme Rambo fra Best Buddy Apps (rambo.codes)
Weather
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan få tilgang til sensitiv stedsinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-32875: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.?
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) fra Theori i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning
Problemet ble løst gjennom forbedret håndtering av grensesnittet.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utilsiktet kodekjøring. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
WebKit Bugzilla: 243557
CVE-2022-32893: en anonym forsker
Wi-Fi
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2022-46709: Wang Yu fra Cyberserval
Oppføring lagt til 8. juni 2023
Wi-Fi
Tilgjengelig for: Apple Watch Series 4 og nyere
Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2022-32925: Wang Yu fra Cyberserval
Ytterligere anerkjennelser
AppleCredentialManager
Vi vil gjerne takke @jonathandata1 for hjelpen.
FaceTime
Vi vil gjerne takke en anonym forsker for hjelpen.
Kernel
Vi vil gjerne takke en anonym forsker for hjelpen.
Vi vil gjerne takke en anonym forsker for hjelpen.
Safari
Vi vil gjerne takke Scott Hatfield fra Sub-Zero Group for hjelpen.
Oppføring lagt til 8. juni 2023
Sandbox
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
UIKit
Vi vil gjerne takke Aleczander Ewing for hjelpen.
WebKit
Vi vil gjerne takke en anonym forsker for hjelpen.
WebRTC
Vi vil gjerne takke en anonym forsker for hjelpen.