Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 9
Wydano 12 września 2022 r.
Accelerate Framework
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2022-42795: ryuzaki
AppleAVD
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32907: Natalie Silvanovich z Google Project Zero, Antonio Zekic (@antoniozekic) i John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić poufny stan jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie pominąć ustawienia prywatności.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2022-32854: Holger Fuhrmannek z Deutsche Telekom Security
Exchange
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik z uprzywilejowanym dostępem do sieci może być w stanie przechwycić poświadczenia poczty.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) z Check Point Research
Wpis uaktualniono 8 czerwca 2023 r.
GPU Drivers
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32903: anonimowy badacz
ImageIO
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2022-1622
Image Processing
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja w piaskownicy może być w stanie ustalić, która aplikacja korzysta obecnie z kamery.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących obserwowalności stanów aplikacji.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie ujawnić pamięć jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32864: Linus Henze z Pinauten GmbH (pinauten.de)
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: ten błąd naprawiono przez ulepszenie obsługi pamięci.
CVE-2022-32866: Linus Henze z Pinauten GmbH (pinauten.de)
CVE-2022-32911: Zweig z Kunlun Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2022-32914: Zweig z Kunlun Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32894: anonimowy badacz
Maps
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32883: Ron Masas z breakpointhq.com
MediaLibrary
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik może być w stanie podwyższyć poziom uprawnień.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2022-32908: anonimowy badacz
Notifications
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik mający fizyczny dostęp do urządzenia może uzyskać dostęp do kontaktów z poziomu zablokowanego ekranu.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2022-32881: Csaba Fitzl (@theevilbit) z Offensive Security
Siri
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: użytkownik z fizycznym dostępem do urządzenia może być w stanie użyć Siri w celu uzyskania informacji o historii połączeń.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32870: Andrew Goldberg z The McCombs School of Business, The University of Texas w Austin (linkedin.com/in/andrew-goldberg-/)
SQLite
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: zdalny użytkownik może doprowadzić do ataku typu „odmowa usługi”
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-36690
Watch app
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać trwały identyfikator urządzenia.
Opis: ten błąd naprawiono przez poprawienie mechanizmu obsługi uprawnień.
CVE-2022-32835: Guilherme Rambo z Best Buddy Apps (rambo.codes)
Weather
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie odczytać poufne informacje o lokalizacji.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2022-32875: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
WebKit Bugzilla: 241969
CVE-2022-32886: P1umer(@p1umer), afang(@afang5472), xmzyshypnc(@xmzyshypnc1)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) z Theori w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: wyświetlenie strony zawierającej ramki prezentujące złośliwą zawartość może doprowadzić do podszycia się pod interfejs użytkownika.
Opis: błąd naprawiono przez poprawienie obsługi interfejsu użytkownika.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu. Apple ma świadomość, że problem mógł być aktywnie wykorzystywany.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
WebKit Bugzilla: 243557
CVE-2022-32893: anonimowy badacz
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2022-46709: Wang Yu z Cyberserval
Wpis dodano 8 czerwca 2023 r.
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 4 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2022-32925: Wang Yu z Cyberserval
Dodatkowe podziękowania
AppleCredentialManager
Dziękujemy za udzieloną pomoc: @jonathandata1.
FaceTime
Dziękujemy anonimowemu badaczowi za pomoc.
Kernel
Dziękujemy anonimowemu badaczowi za pomoc.
Dziękujemy anonimowemu badaczowi za pomoc.
Safari
Dziękujemy za udzieloną pomoc: Scott Hatfield z Sub-Zero Group.
Wpis dodano 8 czerwca 2023 r.
Sandbox
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.
UIKit
Dziękujemy za udzieloną pomoc: Aleczander Ewing.
WebKit
Dziękujemy anonimowemu badaczowi za pomoc.
WebRTC
Dziękujemy anonimowemu badaczowi za pomoc.