Acerca dos conteúdos de segurança do watchOS 9.1

Este documento descreve os conteúdos de segurança do watchOS 9.1.

Acerca das atualizações de segurança da Apple

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou os lançamentos necessários. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple.

watchOS 9.1

AppleMobileFileIntegrity

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir modificar partes protegidas do sistema de ficheiros

Descrição: este problema foi resolvido através da remoção de direitos adicionais.

CVE-2022-42825: Mickey Jin (@patch1t)

Apple Neural Engine

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2022-32932: Mohamed Ghannam (@_simo36)

Audio

Disponível para: Apple Watch Series 4 e posterior

Impacto: a análise de um ficheiro de áudio criado com intuito malicioso poderá provocar a divulgação de informações do utilizador

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2022-42798: investigador anónimo em colaboração com o programa Zero Day Initiative da Trend Micro

AVEVideoEncoder

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: o problema foi resolvido através de verificações melhoradas dos limites.

CVE-2022-32940: ABC Research s.r.o.

CFNetwork

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de um certificado criado com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: existia um problema na validação de certificados no processamento do WKWebView. Este problema foi resolvido através da validação melhorada.

CVE-2022-42813: Jonathan Zhang da Open Computing Facility (ocf.berkeley.edu)

GPU Drivers

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2022-32947: Asahi Lina (@LinaAsahi)

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir provocar o encerramento inesperado do sistema ou potencialmente executar código com privilégios do kernel

Descrição: foi resolvido um problema do tipo "use after free" (utilização após libertação de memória) com a gestão melhorada da memória.

CVE-2022-46712: Tommy Muir (@Muirey03)

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: o problema foi resolvido através do processamento da memória melhorado.

CVE-2022-32924: Ian Beer do Google Project Zero

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: um utilizador remoto poderá conseguir provocar a execução de um código de kernel

Descrição: foi resolvido um problema de escrita fora dos limites através da verificação melhorada dos limites.

CVE-2022-42808: Zweig da Kunlun Lab

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através da gestão melhorada do estado.

CVE-2022-32944: Tim Michaud (@TimGMichaud) da Moveworks.ai

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvida uma condição de disputa através do bloqueio melhorado.

CVE-2022-42803: Xinru Chi do Pangu Lab, John Aakerblom (@jaakerblom)

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app com privilégios de raiz poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: o problema foi resolvido através de verificações melhoradas dos limites.

CVE-2022-32926: Tim Michaud (@TimGMichaud) da Moveworks.ai

Kernel

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de lógica através de verificações melhoradas.

CVE-2022-42801: Ian Beer do Google Project Zero

Safari

Disponível para: Apple Watch Series 4 e posterior

Impacto: aceder a um site criado com intuito malicioso poderá provocar a divulgação de dados confidenciais

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2022-42817: Mir Masood Ali, estudante de doutoramento, Universidade de Illinois em Chicago; Binoy Chitale, estudante de mestrado, Universidade de Stony Brook; Mohammad Ghasemisharif, candidato a doutoramento, Universidade de Illinois em Chicago; Chris Kanich, professor associado da Universidade de Illinois em Chicago

Sandbox

Disponível para: Apple Watch Series 4 e posterior

Impacto: uma app poderá conseguir aceder a dados confidenciais do utilizador

Descrição: foi resolvido um problema de acesso através de restrições adicionais da sandbox.

CVE-2022-42811: Justin Bui (@slyd0g) da Snowflake

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: aceder a um site malicioso poderá provocar a falsificação da interface do utilizador

Descrição: o problema foi resolvido através do processamento da IU melhorado.

CVE-2022-42799: Jihwan Kim (@gPayl0ad), Dohyun Lee (@l33d0hyun)

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de confusão de tipos através do processamento melhorado da memória.

CVE-2022-42823: Dohyun Lee (@l33d0hyun) da SSD Labs

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar informações confidenciais do utilizador

Descrição: foi resolvido um problema de lógica através da gestão melhorada do estado.

CVE-2022-42824: Abdulrahman Alqabandi da Microsoft Browser Vulnerability Research, Ryan Shin da IAAI SecLab na Universidade da Coreia, Dohyun Lee (@l33d0hyun) da DNSLab na Universidade da Coreia

WebKit

Disponível para: Apple Watch Series 4 e posterior

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá divulgar estados internos da app

Descrição: foi resolvido um problema de correção no JIT através de verificações melhoradas.

CVE-2022-32923: Wonyoung Jung (@nonetype_pwn) do KAIST Hacking Lab

zlib

Disponível para: Apple Watch Series 4 e posterior

Impacto: um utilizador poderá conseguir provocar o encerramento inesperado da app ou a execução de um código arbitrário

Descrição: este problema foi resolvido através de verificações melhoradas.

CVE-2022-37434: Evgeny Legerov

CVE-2022-42800: Evgeny Legerov

Agradecimentos adicionais

iCloud

Gostaríamos de agradecer a Tim Michaud (@TimGMichaud) da Moveworks.ai pela ajuda prestada.

Kernel

Gostaríamos de agradecer a Peter Nguyen da STAR Labs, Tim Michaud (@TimGMichaud) da Moveworks.ai e Tommy Muir (@Muirey03) pela ajuda prestada.

WebKit

Gostaríamos de agradecer a Maddie Stone do Google Project Zero, Narendra Bhati (@imnarendrabhati) da Suma Soft Pvt. Ltd., um investigador anónimo pela ajuda prestada.