关于 watchOS 9.1 的安全性内容

本文介绍了 watchOS 9.1 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户，在没有进行调查并推出修补程序或发行版本之前，Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

Apple 安全性文稿会尽可能以 CVE-ID 来引用安全漏洞。

如果需要了解有关安全性的更多信息，请参阅“Apple 产品安全性”页面。

watchOS 9.1

AppleMobileFileIntegrity

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够修改文件系统的受保护部分

描述：已通过移除额外授权解决这个问题。

CVE-2022-42825：Mickey Jin (@patch1t)

Apple Neural Engine

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决这个问题。

CVE-2022-32932：Mohamed Ghannam (@_simo36)

Audio

适用于：Apple Watch Series 4 及更新机型

影响：解析恶意制作的音频文件可能会导致用户信息泄露

描述：已通过改进内存处理解决这个问题。

CVE-2022-42798：匿名研究人员与 Trend Micro Zero Day Initiative 合作发现

AVEVideoEncoder

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进边界检查解决这个问题。

CVE-2022-32940：ABC Research s.r.o.

CFNetwork

适用于：Apple Watch Series 4 及更新机型

影响：处理恶意制作的证书可能会导致任意代码执行

描述：处理 WKWebView 时存在证书验证问题。已通过改进验证解决这个问题。

CVE-2022-42813：Open Computing Facility (ocf.berkeley.edu) 的 Jonathan Zhang

GPU Drivers

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决这个问题。

CVE-2022-32947：Asahi Lina (@LinaAsahi)

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够导致系统意外终止或者可能以内核权限执行代码

描述：已通过改进内存管理解决“释放后使用”问题。

CVE-2022-46712：Tommy Muir (@Muirey03)

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进内存处理解决这个问题。

CVE-2022-32924：Google Project Zero 的 Ian Beer

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：远程用户或许能够导致内核代码执行

描述：已通过改进边界检查解决越界写入问题。

CVE-2022-42808：昆仑实验室的 Zweig

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进状态管理解决内存损坏问题。

CVE-2022-32944：Moveworks.ai 的 Tim Michaud (@TimGMichaud)

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进锁定解决竞态条件问题。

CVE-2022-42803：盘古实验室的 Xinru Chi，John Aakerblom (@jaakerblom)

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：具有根权限的 App 或许能够以内核权限执行任意代码

描述：已通过改进边界检查解决这个问题。

CVE-2022-32926：Moveworks.ai 的 Tim Michaud (@TimGMichaud)

Kernel

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够以内核权限执行任意代码

描述：已通过改进检查解决逻辑问题。

CVE-2022-42801：Google Project Zero 的 Ian Beer

Safari

适用于：Apple Watch Series 4 及更新机型

影响：访问恶意制作的网站可能会泄露敏感数据

描述：已通过改进状态管理解决逻辑问题。

CVE-2022-42817：伊利诺伊大学芝加哥分校博士生 Mir Masood Ali；石溪大学理学硕士生 Binoy Chitale；伊利诺伊大学芝加哥分校博士候选人 Mohammad Ghasemisharif；伊利诺伊大学芝加哥分校副教授 Chris Kanich

Sandbox

适用于：Apple Watch Series 4 及更新机型

影响：App 或许能够访问敏感用户数据

描述：已通过增加沙盒限制解决访问问题。

CVE-2022-42811：Snowflake 的 Justin Bui (@slyd0g)

WebKit

适用于：Apple Watch Series 4 及更新机型

影响：访问恶意网站可能会导致用户界面欺诈问题

描述：已通过改进 UI 处理解决这个问题。

CVE-2022-42799：Jihwan Kim (@gPayl0ad)、Dohyun Lee (@l33d0hyun)

WebKit

适用于：Apple Watch Series 4 及更新机型

影响：处理恶意制作的网页内容可能会导致任意代码执行

描述：已通过改进内存处理解决类型混淆问题。

CVE-2022-42823：SSD Labs 的 Dohyun Lee (@l33d0hyun)

WebKit

适用于：Apple Watch Series 4 及更新机型

影响：处理恶意制作的网页内容可能会泄露敏感用户信息

描述：已通过改进状态管理解决逻辑问题。

CVE-2022-42824：Microsoft Browser Vulnerability Research 的 Abdulrahman Alqabandi、高丽大学 IAAI SecLab 的 Ryan Shin、高丽大学 DNSLab 的 Dohyun Lee (@l33d0hyun)

WebKit

适用于：Apple Watch Series 4 及更新机型

影响：处理恶意制作的网页内容可能会泄露 App 的内部状态

描述：已通过改进检查解决 JIT 中的正确性问题。

CVE-2022-32923：KAIST Hacking Lab 的 Wonyoung Jung (@nonetype_pwn)

zlib

适用于：Apple Watch Series 4 及更新机型

影响：用户或许能够导致 App 意外终止或任意代码执行

描述：已通过改进检查解决这个问题。

CVE-2022-37434：Evgeny Legerov

CVE-2022-42800：Evgeny Legerov

特别鸣谢

iCloud

由衷感谢 Moveworks.ai 的 Tim Michaud (@TimGMichaud) 为我们提供的协助。

Kernel

由衷感谢 Tommy Muir (@Muirey03)、STAR Labs 的 Peter Nguyen、Moveworks.ai 的 Tim Michaud (@TimGMichaud) 为我们提供的协助。

WebKit

由衷感谢 Google Project Zero 的 Maddie Stone、Suma Soft Pvt. Ltd. 的 Narendra Bhati (@imnarendrabhati)，以及一位匿名研究人员为我们提供的协助。