Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
watchOS 9
Дата выпуска: 12 сентября 2022 г.
Accelerate Framework
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема с использованием памяти устранена путем улучшенной обработки памяти.
CVE-2022-42795: пользователь ryuzaki
AppleAVD
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-32907: Natalie Silvanovich из Google Project Zero, Antonio Zekic (@antoniozekic) и John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)
Apple Neural Engine
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может вызывать утечку конфиденциальных данных о состоянии ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32858: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32898: Mohamed Ghannam (@_simo36)
CVE-2022-32899: Mohamed Ghannam (@_simo36)
CVE-2022-32889: Mohamed Ghannam (@_simo36)
Contacts
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может обойти настройки конфиденциальности.
Описание. Проблема устранена путем улучшения проверок.
CVE-2022-32854: Holger Fuhrmannek из Deutsche Telekom Security
Exchange
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Пользователь с преимущественным положением в сети может перехватывать учетные данные почты.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2022-32928: Jiří Vinopal (@vinopaljiri) из Check Point Research
Запись обновлена 8 июня 2023 г.
GPU Drivers
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2022-32903: анонимный исследователь
ImageIO
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка изображения может приводить к отказу в обслуживании.
Описание. Проблема с отказом в обслуживании устранена путем улучшения процедуры проверки.
CVE-2022-1622
Image Processing
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение в изолированной среде может определять, какое приложение в данный момент времени использует камеру.
Описание. Проблема устранена путем ввода дополнительных ограничений на возможность отслеживать состояния приложений.
CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может раскрывать данные из памяти ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32864: Linus Henze из Pinauten GmbH (pinauten.de)
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема устранена путем улучшения обработки обращений к памяти.
CVE-2022-32866: Linus Henze из Pinauten GmbH (pinauten.de)
CVE-2022-32911: пользователь Zweig из Kunlun Lab
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2022-32914: пользователь Zweig из Kunlun Lab
Kernel
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра. Компании Apple известно о том, что этой проблемой могли активно пользоваться.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-32894: анонимный исследователь
Maps
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2022-32883: Ron Masas из breakpointhq.com
MediaLibrary
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Пользователь может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2022-32908: анонимный исследователь
Notifications
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Пользователь с физическим доступом к устройству может получать доступ к списку контактов с экрана блокировки.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32879: Ubeydullah Sümer
Sandbox
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может изменять защищенные области файловой системы.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2022-32881: Csaba Fitzl (@theevilbit) из Offensive Security
Siri
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Пользователь с физическим доступом к устройству может использовать Siri для получения некоторых данных из журнала вызовов.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32870: Andrew Goldberg из Школы бизнеса Маккомбса на базе Техасского университета в Остине (linkedin.com/in/andrew-goldberg-/)
SQLite
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Пользователь может удаленно вызывать отказ в обслуживании.
Описание. Проблема устранена путем улучшения проверок.
CVE-2021-36690
Watch
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может считывать постоянный идентификатор устройства.
Описание. Проблема устранена с помощью улучшенных разрешений.
CVE-2022-32835: Guilherme Rambo из Best Buddy Apps (rambo.codes)
Weather
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может получать доступ к конфиденциальным данным о геопозиции.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2022-32875: анонимный исследователь
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.
WebKit Bugzilla: 241969
CVE-2022-32886: пользователи P1umer (@p1umer), afang (@afang5472) и xmzyshypnc (@xmzyshypnc1)
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
WebKit Bugzilla: 242047
CVE-2022-32888: пользователь P1umer (@p1umer)
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) из Theori в сотрудничестве с Trend Micro по программе Zero Day Initiative
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Посещение веб-сайта, через который распространяется вредоносный контент, может привести к подмене пользовательского интерфейса.
Описание. Проблема устранена путем улучшения обработки пользовательского интерфейса.
WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, анонимный исследователь
WebKit
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода. Компании Apple известно о том, что этой проблемой могли активно пользоваться.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
WebKit Bugzilla: 243557
CVE-2022-32893: анонимный исследователь
Wi-Fi
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшения управления состояниями.
CVE-2022-46709: Wang Yu из CyberServal
Запись добавлена 8 июня 2023 г.
Wi-Fi
Целевые продукты: Apple Watch Series 4 и более поздние модели
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2022-32925: Wang Yu из CyberServal
Дополнительные благодарности
AppleCredentialManager
Выражаем благодарность за помощь пользователю @jonathandata1.
FaceTime
Выражаем благодарность за помощь анонимному исследователю.
Kernel
Выражаем благодарность за помощь анонимному исследователю.
Выражаем благодарность за помощь анонимному исследователю.
Safari
Выражаем благодарность за помощь Scott Hattfield из Sub-Zero Group.
Запись добавлена 8 июня 2023 г.
Sandbox
Выражаем благодарность за помощь Чабе Фицлю (Csaba Fitzl) (@theevilbit) из Offensive Security.
UIKit
Выражаем благодарность за помощь Aleczander Ewing.
WebKit
Выражаем благодарность за помощь анонимному исследователю.
WebRTC
Выражаем благодарность за помощь анонимному исследователю.