Om sikkerhetsinnholdet i watchOS 9

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

Utgitt 12. september 2022

Accelerate Framework

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.

CVE-2022-42795: ryuzaki

AppleAVD

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32907: Natalie Silvanovich fra Google Project Zero, Antonio Zekic (@antoniozekic) og John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan lekke sensitiv kjernetilstand

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan være i stand til å omgå personvernpreferanser

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2022-32854: Holger Fuhrmannek fra Deutsche Telekom Security

Exchange

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En bruker i en privilegert nettverksposisjon kan være i stand til å fange opp e-postlegitimasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) fra Check Point Research

Oppføring oppdatert 8. juni 2023

GPU Drivers

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-32903: en anonym  orsker

ImageIO

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av et bilde kan føre til tjenestenekt

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2022-1622

Image Processing

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En sandkasseapp kan være i stand til å finne ut hvilken app som bruker kameraet for øyeblikket

Beskrivelse: Problemet ble løst gjennom tilleggsbegrensninger for observerbarheten av apptilstander.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan avsløre kjerneminne

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32864: Linus Henze fra Pinauten GmbH (pinauten.de)

Kernel

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Problemet ble løst gjennom forbedret håndtering av minnet.

CVE-2022-32866: Linus Henze fra Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig fra Kunlun Lab

Kernel

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2022-32914: Zweig fra Kunlun Lab

Kernel

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-32894: en anonym forsker

Maps

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32883: Ron Masas fra breakpointhq.com

MediaLibrary

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En bruker kan være i stand til å utvide rettigheter

Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.

CVE-2022-32908: en anonym forsker

Notifications

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En bruker med fysisk tilgang til en enhet kan få tilgang til kontakter fra låst skjerm

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan endre beskyttede deler av filsystemet

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2022-32881: Csaba Fitzl (@theevilbit) fra Offensive Security

Siri

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En bruker med fysisk tilgang til en enhet kan være i stand til å bruke Siri til å få tak i enkelte opplysninger om anropsloggen

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32870: Andrew Goldberg fra The McCombs School of Business, The University of Texas i Austin (linkedin.com/in/andrew-goldberg-/)

SQLite

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En ekstern bruker kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2021-36690

Watch app

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kanskje lese en vedvarende enhetsidentifikator

Beskrivelse: Problemet ble løst gjennom forbedret rettighetstildeling.

CVE-2022-32835: Guilherme Rambo fra Best Buddy Apps (rambo.codes)

Weather

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan få tilgang til sensitiv stedsinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-32875: en anonym forsker

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.?

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) fra Theori i samarbeid med Trend Micro Zero Day Initiative

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Besøk på et nettsted som skjuler skadelig innhold, kan føre til UI-forfalskning

Problemet ble løst gjennom forbedret håndtering av grensesnittet.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, en anonym forsker

WebKit

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utilsiktet kodekjøring. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

WebKit Bugzilla: 243557
CVE-2022-32893: en anonym forsker

Wi-Fi

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2022-46709: Wang Yu fra Cyberserval

Oppføring lagt til 8. juni 2023

Wi-Fi

Tilgjengelig for: Apple Watch Series 4 og nyere

Virkning: En app kan forårsake uventet systemavslutning eller skrive til kjerneminnet

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2022-32925: Wang Yu fra Cyberserval

AppleCredentialManager

Vi vil gjerne takke @jonathandata1 for hjelpen.

FaceTime

Vi vil gjerne takke en anonym forsker for hjelpen.

Kernel

Vi vil gjerne takke en anonym forsker for hjelpen.

Mail

Vi vil gjerne takke en anonym forsker for hjelpen.

Safari

Vi vil gjerne takke Scott Hatfield fra Sub-Zero Group for hjelpen.

Oppføring lagt til 8. juni 2023

Sandbox

Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.

UIKit

Vi vil gjerne takke Aleczander Ewing for hjelpen.

WebKit

Vi vil gjerne takke en anonym forsker for hjelpen.

WebRTC

Vi vil gjerne takke en anonym forsker for hjelpen.