Obsah zabezpečenia v systéme watchOS 8.5

V tomto dokumente sa opisuje obsah zabezpečenia v systéme watchOS 8.5.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 8,5

Dátum vydania: 14. marca 2022

Accelerate Framework

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-22633: ryuzaki

Dátum aktualizácie záznamu: 25. mája 2022

AppleAVD

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2022-22666: Marc Schoenefeld, Dr. rer. nat.

ImageIO

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2022-22611: Xingyu Jin (Google)

ImageIO

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k poškodeniu haldy

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2022-22612: Xingyu Jin (Google)

Kernel

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2022-22596: Anonymný výskumník

CVE-2022-22640: sqrtpwn

Kernel

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému so zápisom dát do zakázaných oblastí, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2022-22613: Alex, anonymný výskumník

Kernel

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2022-22614: Anonymný výskumník

CVE-2022-22615: Anonymný výskumník

Kernel

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2022-22632: Keegan Saunders

Kernel

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby

Popis: Dochádzalo k problému s dereferenciou smerníka s hodnotou NULL, ktorý bol vyriešený vylepšením overovania.

CVE-2022-22638: derrek (@derrekr6)

LaunchServices

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Apka môže byť schopná obísť určité nastavenia súkromia

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2021-30946: @gorelics a Ron Masas z tímu BreakPoint.sh

Dátum pridania záznamu: 6. júna 2023

libarchive

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Viacero problémov v knižnici libarchive

Popis: V súčasti libarchive dochádzalo k viacerým problémom súvisiacim s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

CVE-2021-36976

LLVM

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Apka môže byť schopná vymazať súbory, pri ktorých na to nemá povolenie

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2022-21658: Florian Weimer (@fweimer)

Dátum pridania záznamu: 25. mája 2022

MediaRemote

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť, aké ďalšie aplikácie má používateľ nainštalované

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením obmedzení prístupu.

CVE-2022-22670: Brandon Azad

Phone

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Používateľ môže byť schopný obísť výzvu na zadanie kódu pre funkciu SOS

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-22618: Yicong Ding (@AntonioDing)

Preferences

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná čítať nastavenia iných aplikácií

Popis: Tento problém bol vyriešený pridaním ďalších kontrol povolení.

CVE-2022-22609: Mickey Jin (@patch1t), Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)

Dátum aktualizovania záznamu: 6. júna 2023

Safari

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou

Popis: Bol vyriešený problém s používateľským rozhraním.

CVE-2022-22654: Abdullah Md Shaleh z tímu take0ver

Sandbox

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná obísť určité nastavenia ochrany osobných údajov

Popis: Tento problém bol vyriešený vylepšením logiky povolení.

CVE-2022-22600: Sudhakar Muthumani (@sudhakarmuthu04) (Primefort Private Limited), Khiem Tran

Dátum aktualizácie záznamu: 25. mája 2022

Siri

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Osoba s fyzickým prístupom k zariadeniu môže byť schopná použiť Siri na získanie niektorých informácií o polohe zo zamknutej obrazovky

Popis : Dochádzalo k problému s povoleniami, ktorý bol vyriešený vylepšením overovania.

CVE-2022-22599: Andrew Goldberg z University of Texas v Austine, McCombs School of Business (linkedin.com/andrew-goldberg-/)

Dátum aktualizácie záznamu: 25. mája 2022

UIKit

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná zobraziť citlivé informácie prostredníctvom návrhov klávesnice

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2022-22621: Joey Hewitt

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií

Popis: Dochádzalo k problému so správou súborov cookie, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 232748

CVE-2022-22662: Prakash (@1lastBr3ath) (Threat Nix)

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 232812

CVE-2022-22610: Quan Yin (Bigo Technology Live Client Team)

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

WebKit Bugzilla 233172

CVE-2022-22624: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)

WebKit Bugzilla: 234147

CVE-2022-22628: Kirin (@Pwnrin) (Tencent Security Xuanwu Lab)

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením spracovania pamäte.

WebKit Bugzilla: 234966

CVE-2022-22629: Jeonghoon Shin zo spoločnosti Theori v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Webová stránka so škodlivým kódom môže spôsobiť neočakávané správanie využívajúce zámenu pôvodu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

WebKit Bugzilla: 235294

CVE-2022-22637: Tom McKee zo spoločnosti Google

Ďalšie poďakovanie

AirDrop

Poďakovanie za pomoc si zaslúžia Omar Espino (omespino.com), Ron Masas (BreakPoint.sh).

Bluetooth

Poďakovanie za pomoc si zaslúži anonymný výskumník.

Face Gallery

Poďakovanie za pomoc si zaslúži Tian Zhang (@KhaosT).

Safari

Poďakovanie za pomoc si zaslúži Konstantin Darutkin (FingerprintJS, fingerprintjs.com).

Shortcuts

Poďakovanie za pomoc si zaslúži Baibhav Anand Jha (Streamers Land).

Siri

Poďakovanie za pomoc si zaslúži anonymný výskumník.

syslog

Poďakovanie za pomoc si zaslúži Yonghwi Jin (@jinmo123) (Theori).

UIKit

Poďakovanie za pomoc si zaslúži Tim Shadel (Day Logger, Inc).

Wallet

Poďakovanie za pomoc si zaslúži anonymný výskumník.

WebKit

Poďakovanie za pomoc si zaslúži Abdullah Md Shaleh.

WebKit Storage

Poďakovanie za pomoc si zaslúži Martin Bajanik zo spoločnosti FingerprintJS.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: