Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 9.2
Dátum vydania: 13. decembra 2022
Accessibility
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Používateľ s fyzickým prístupom k zamknutým hodinkám Apple Watch môže byť schopný zobraziť fotky používateľov prostredníctvom funkcií prístupnosti
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-46717: Zitong Wu (吴梓桐) z 1. strednej školy v Ču-chaj (珠海市第一中学)
Dátum pridania záznamu: 6. júna 2023
Accounts
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Tento problém bol vyriešený vylepšením ochrany dát.
CVE-2022-42843: Mickey Jin (@patch1t)
AppleAVD
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Analýza súboru videa so škodlivým kódom môže viesť k spusteniu kódu jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-46694: Andrey Labunets a Nikita Tarakanov
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Tento problém bol vyriešený zapnutím zabezpečeného chodu apky.
CVE-2022-42865: Wojciech Reguła (@_r3ggi, SecuRing)
CoreServices
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka môže byť schopná obísť nastavenia súkromia
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené odstránením nedostatočne zabezpečeného kódu.
CVE-2022-42859: Mickey Jin (@patch1t), Csaba Fitzl (@theevilbit, Offensive Security)
ImageIO
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-46693: Mickey Jin (@patch1t)
IOHIDFamily
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2022-42864: Tommy Muir (@Muirey03)
IOMobileFrameBuffer
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-46690: John Aakerblom (@jaakerblom)
iTunes Store
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Pri analyzovaní URL adries dochádzalo k problému. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-42837: Anonymný výskumník
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2022-46689: Ian Beer (Google Project Zero)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Vzdialený používateľ môže byť schopný spôsobiť spustenie kódu jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42842: pattern-f (@pattern_F_, Ant Security Light-Year Lab)
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Apka s oprávneniami používateľa root môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42845: Adam Doupé z tímu ASU SEFCOM
Kernel
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Útočník s ľubovoľným prístupom na čítanie a zápis môže byť schopný obísť funkciu Pointer Authentication. Spoločnosť Apple si je vedomá správy o tom, že tento problém mohol byť zneužívaný vo verziách systému iOS vydaných pred verziou iOS 15.7.1.
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-48618: Apple
Dátum pridania záznamu: 9. januára 2024
libxml2
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2022-40303: Maddie Stone z tímu Google Project Zero
libxml2
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Vzdialený používateľ môže byť schopný spôsobiť neočakávané ukončenie apky alebo spustenie ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2022-40304: Ned Williamson a Nathan Wachholz z tímu Google Project Zero
Preferences
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná použiť ľubovoľné oprávnenia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2022-42855: Ivan Fratric (Google Project Zero)
Dátum pridania záznamu: 6. júna 2023
Safari
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Návšteva stránky, ktorá obsahuje škodlivý obsah, môže viesť k sfalšovaniu používateľského rozhrania
Popis: Pri spracovávaní URL adries dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-46695: KirtiKumar Anandrao Ramchandani
Software Update
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Užívateľ môže byť schopný zvýšiť úroveň oprávnení
Popis: Vo volaniach rozhrania API s oprávneniami dochádzalo k problému s prístupom. Tento problém bol vyriešený používaním ďalších obmedzení.
CVE-2022-42849: Mickey Jin (@patch1t)
Weather
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2022-46703: Wojciech Reguła (@_r3ggi, SecuRing) a anonymný výskumník
Dátum pridania záznamu: 6. júna 2023
Weather
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Apka môže byť schopná čítať citlivé informácie o polohe
Popis: Tento problém bol vyriešený vylepšením spracovania vyrovnávacích pamätí.
CVE-2022-42866: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Opis: Pri spracovávaní URL adries dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2022-46705: Hyeon Park (@tree_segment) z tímu ApplePIE
Dátum pridania záznamu: 6. júna 2023
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
WebKit Bugzilla: 245521
CVE-2022-42867: Maddie Stone (Google Project Zero)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
WebKit Bugzilla: 245466
CVE-2022-46691: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom umožňuje obísť mechanizmus SOP (Same Origin Policy)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 246783
CVE-2022-46692: KirtiKumar Anandrao Ramchandani
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2022-42852: hazbinhotel v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
WebKit Bugzilla: 246942
CVE-2022-46696: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 247562
CVE-2022-46700: Samuel Groß (Google V8 Security)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením kontrol.
CVE-2022-46698: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab na Kórejskej univerzite)
WebKit
Dostupné pre: Apple Watch Series 4 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
WebKit Bugzilla: 247420
CVE-2022-46699: Samuel Groß (Google V8 Security)
WebKit Bugzilla: 244622
CVE-2022-42863: Anonymný výskumník
Ďalšie poďakovanie
Kernel
Poďakovanie za pomoc si zaslúži Zweig z tímu Kunlun Lab.
Safari Extensions
Poďakovanie za pomoc si zaslúžia Oliver Dunk a Christian R. (1Password).
WebKit
Poďakovanie za pomoc si zaslúžia anonymný výskumník a scarlet.