Zawartość związana z zabezpieczeniami w systemie watchOS 9
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 9.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 9
Accelerate Framework
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-42795: ryuzaki
AppleAVD
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32907: Natalie Silvanovich z Google Project Zero, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32854: Holger Fuhrmannek z Deutsche Telekom Security
Exchange
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie przechwycić poświadczenia poczty.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) z Check Point Research
GPU Drivers
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32903: anonimowy badacz
ImageIO
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2022-1622
Image Processing
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32864: Linus Henze z Pinauten GmbH (pinauten.de)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32866: Linus Henze z Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z Kunlun Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32914: Zweig z Kunlun Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32894: anonimowy badacz
Maps
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32883: Ron Masas z breakpointhq.com
MediaLibrary
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32908: anonimowy badacz
Notifications
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik mający fizyczny dostęp do urządzenia może uzyskać dostęp do kontaktów z poziomu zablokowanego ekranu.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32881: Csaba Fitzl (@theevilbit) z Offensive Security
Siri
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik z fizycznym dostępem do urządzenia może być w stanie użyć Siri w celu uzyskania informacji o historii połączeń.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32870: Andrew Goldberg z The McCombs School of Business, The University of Texas w Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-36690
Watch app
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać trwały identyfikator urządzenia.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2022-32835: Guilherme Rambo z Best Buddy Apps (rambo.codes)
Weather
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32875: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32888: P1umer (@p1umer)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32912: Jeonghoon Shin (@singi21a) z Theori w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2022-32891: @real_as3617, anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32893: anonimowy badacz
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-46709: Wang Yu z Cyberserval
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32925: Wang Yu z Cyberserval
Dodatkowe podziękowania
AppleCredentialManager
Dziękujemy za udzieloną pomoc: @jonathandata1.
FaceTime
Dziękujemy anonimowemu badaczowi za pomoc.
Kernel
Dziękujemy anonimowemu badaczowi za pomoc.
Dziękujemy anonimowemu badaczowi za pomoc.
Safari
Dziękujemy za udzieloną pomoc: Scott Hatfield z Sub-Zero Group.
Sandbox
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.
UIKit
Dziękujemy za udzieloną pomoc: Aleczander Ewing.
WebKit
Dziękujemy anonimowemu badaczowi za pomoc.
WebRTC
Dziękujemy anonimowemu badaczowi za pomoc.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.