Zawartość związana z zabezpieczeniami w systemie watchOS 8.7
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 8.7.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 8.7
APFS
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: zdalny użytkownik może być w stanie doprowadzić do wykonania kodu jądra.
Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32788: Natalie Silvanovich z Google Project Zero
AppleAVD
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32824: Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.
CVE-2022-32826: Mickey Jin (@patch1t) z Trend Micro
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wydostać się ze swojej piaskownicy.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostępne dla urządzeń z układem Apple Neural Engine: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32820: anonimowy badacz
Audio
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreText
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: użytkownik zdalny może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32819: Joshua Mason z Mandiant
GPU Drivers
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: naprawiono liczne błędy zapisu poza granicami przez poprawienie mechanizmu sprawdzania granic.
CVE-2022-32793: anonimowy badacz
GPU Drivers
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2022-32821: John Aakerblom (@jaakerblom)
ICU
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) z SSD Secure Disclosure Labs i DNSLab, Korea Univ.
ImageIO
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ujawnienia pamięci procesowej.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32841: hjy79425575
JavaScriptCore
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetwarzanie zawartości www może spowodować wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez ulepszenie sprawdzania granic.
CVE-2022-48503: Dongzhuo Zhao we współpracy z ADLab of Venustech oraz ZhaoHai of Cyberpeace Tech Co., Ltd.
Kernel
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja z uprawnieniami użytkownika root może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32813: Xinru Chi z Pangu Lab
CVE-2022-32815: Xinru Chi z Pangu Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32817: Xinru Chi z Pangu Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja mająca możliwość dowolnego odczytu i zapisu z jądra może być w stanie ominąć identyfikację wskaźnika (Pointer Authentication).
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC of China (nipc.org.cn)
libxml2
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-32823
Multi-Touch
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie mechanizmów kontrolnych.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może śledzić działania użytkownika.
Opis: ten problem naprawiono przez wprowadzenie wysyłania informacji przez sieć za pomocą protokołu HTTPS.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-32863: P1umer(@p1umer), afang(@afang5472) i xmzyshypnc(@xmzyshypnc1)
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) z SSD Secure Disclosure Labs i DNSLab, Korea Univ.
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd zapisu poza zakresem przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32792: Manfred Paul (@_manfp) przy współpracy z Trend Micro Zero Day Initiative
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: użytkownik zdalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub uszkodzenie zawartości pamięci jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32847: Wang Yu z Cyberserval
Dodatkowe podziękowania
AppleMobileFileIntegrity
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security, Mickey Jin (@patch1t) z Trend Micro i Wojciech Reguła (@_r3ggi) z SecuRing.
configd
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security, Mickey Jin (@patch1t) z Trend Micro i Wojciech Reguła (@_r3ggi) z SecuRing.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.