Om säkerhetsinnehållet i watchOS 9

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 9.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

watchOS 9

Släpptes 12 september 2022

Accelerate Framework

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2022-42795: ryuzaki

AppleAVD

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2022-32907: Natalie Silvanovich från Google Project Zero, Antonio Zekic (@antoniozekic) och John Aakerblom (@jaakerblom), ABC Research s.r.o, Yinyi Wu, Tommaso Bianco (@cutesmilee__)

Apple Neural Engine

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan läcka känsliga kerneltillstånd

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32858: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32898: Mohamed Ghannam (@_simo36)

CVE-2022-32899: Mohamed Ghannam (@_simo36)

CVE-2022-32889: Mohamed Ghannam (@_simo36)

Contacts

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan kringgå inställningar för Integritet

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2022-32854: Holger Fuhrmannek på Deutsche Telekom Security

Exchange

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en användare i en behörig nätverksposition kanske kan fånga upp e-postinloggningsuppgifter

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32928: Jiří Vinopal (@vinopaljiri) på Check Point Research

Uppdaterades 8 juni 2023

GPU Drivers

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2022-32903: en anonym forskare

ImageIO

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: bearbetning av en bild kan leda till ett dos-angrepp

Beskrivning: Ett dos-problem åtgärdades med hjälp av förbättrad validering.

CVE-2022-1622

Image Processing

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app i sandlådeläge kan fastställa vilken app som just nu använder kameran

Beskrivning: Problemet åtgärdades med ytterligare begränsningar för visning av applägen.

CVE-2022-32913: Yiğit Can YILMAZ (@yilmazcanyigit)

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan avslöja kernelminnet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32864: Linus Henze på Pinauten GmbH (pinauten.de)

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: problemet hanterades med förbättrad minneshantering.

CVE-2022-32866: Linus Henze på Pinauten GmbH (pinauten.de)

CVE-2022-32911: Zweig på Kunlun Lab

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2022-32914: Zweig på Kunlun Lab

Kernel

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2022-32894: en anonym forskare

Maps

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kanske kan läsa känslig platsinformation

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32883: Ron Masas på breakpointhq.com

MediaLibrary

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en användare kanske kan öka behörigheter

Beskrivning: ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2022-32908: en anonym forskare

Notifications

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En användare med fysisk åtkomst till en enhet kan komma åt kontakter från låsskärmen

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32879: Ubeydullah Sümer

Sandbox

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kan ändra skyddade delar av filsystemet

Beskrivning: ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2022-32881: Csaba Fitzl (@theevilbit) på Offensive Security

Siri

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En användare med fysisk åtkomst till en enhet kan använda Siri för att få tag på viss information om samtalshistorik

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32870: Andrew Goldberg på The McCombs School of Business, University of Texas i Austin (linkedin.com/in/andrew-goldberg-/)

SQLite

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: problemet åtgärdades med förbättrade kontroller.

CVE-2021-36690

Watch app

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: En app kanske kan läsa en beständig enhetsidentifierare

Beskrivning: problemet åtgärdades med förbättrade behörigheter.

CVE-2022-32835: Guilherme Rambo på Best Buddy Apps (rambo.codes)

Weather

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kanske kan läsa känslig platsinformation

Beskrivning: ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-32875: en anonym forskare

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

WebKit Bugzilla: 241969
CVE-2022-32886: P1umer (@p1umer), afang (@afang5472), xmzyshypnc (@xmzyshypnc1)

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242047
CVE-2022-32888: P1umer (@p1umer)

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 242762
CVE-2022-32912: Jeonghoon Shin (@singi21a) på Theori i samarbete med Trend Micro Zero Day Initiative

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: besök på en webbplats med skadligt innehåll i ramar kan leda till att användargränssnittet förfalskas

Beskrivning: Problemet hanterades med förbättrad hantering av användargränssnittet.

WebKit Bugzilla: 243236
CVE-2022-32891: @real_as3617, en anonym forskare

WebKit

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.

Beskrivning: ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

WebKit Bugzilla: 243557
CVE-2022-32893: en anonym forskare

Wi-Fi

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan köra opålitlig kod med kernelbehörighet

Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2022-46709: Wang Yu på Cyberserval

Lades till 8 juni 2023

Wi-Fi

Tillgängligt för: Apple Watch Series 4 och senare

Effekt: en app kan leda till oväntad systemavstängning eller skrivning till kernelminne

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2022-32925: Wang Yu på Cyberserval

Ytterligare tack

AppleCredentialManager

Vi vill tacka @jonathandata1 för hjälpen.

FaceTime

Vi vill tacka en anonym forskare för hjälpen.

Kernel

Vi vill tacka en anonym forskare för hjälpen.

Mail

Vi vill tacka en anonym forskare för hjälpen.

Safari

Vi vill tacka Scott Hatfield från Sub-Zero Group för hjälpen.

Lades till 8 juni 2023

Sandbox

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.

UIKit

Vi vill tacka Aleczander Ewing för hjälpen.

WebKit

Vi vill tacka en anonym forskare för hjälpen.

WebRTC

Vi vill tacka en anonym forskare för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: 16 januari 2024