Tietoja watchOS 8.7:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 8.7:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 8.7

Julkaistu 20.7.2022

APFS

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32832: Tommy Muir (@Muirey03)

AppleAVD

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan kernel-koodin suorittamisen.

Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.

CVE-2022-32788: Natalie Silvanovich (Google Project Zero)

AppleAVD

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32824: Antonio Zekic (@antoniozekic) ja John Aakerblom (@jaakerblom)

AppleMobileFileIntegrity

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: valtuutusongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2022-32826: Mickey Jin (@patch1t, Trend Micro)

Apple Neural Engine

Saatavuus: laitteet, joissa on Apple Neural Engine (Apple Watch Series 4 ja uudemmat).

Vaikutus: appi saattoi pystyä poistumaan eristyksestään.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-32845: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Saatavuus: laitteet, joissa on Apple Neural Engine (Apple Watch Series 4 ja uudemmat).

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-32840: Mohamed Ghannam (@_simo36)

Apple Neural Engine

Saatavuus: laitteet, joissa on Apple Neural Engine (Apple Watch Series 4 ja uudemmat).

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32810: Mohamed Ghannam (@_simo36)

Audio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2022-32820: nimetön tutkija

Audio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32825: John Aakerblom (@jaakerblom)

CoreText

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: etäkäyttäjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

CVE-2022-32839: STAR Labs (@starlabs_sg)

File System Events

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi saada pääkäyttöoikeudet.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32819: Joshua Mason (Mandiant)

GPU Drivers

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: useita rajojen ulkopuolisen muistin kirjoitusongelmia ratkaistiin parantamalla rajojen tarkistusta.

CVE-2022-32793: nimetön tutkija

GPU Drivers

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.

CVE-2022-32821: John Aakerblom (@jaakerblom)

ICU

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2022-32787: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: haitallisen kuvatiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32841: hjy79425575

JavaScriptCore

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: ongelma on ratkaistu parantamalla rajojen tarkastuksia.

WebKit Bugzilla: 241931

CVE-2022-48503: Dongzhuo Zhao yhteistyössä Venustechin ADLabin kanssa ja ZhaoHai (Cyberpeace Tech Co., Ltd.)

Kohta lisätty 21.6.2023

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi, jolla oli pääkäyttöoikeudet, saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32813: Xinru Chi (Pangu Lab)

CVE-2022-32815: Xinru Chi (Pangu Lab)

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä paljastamaan kernel-muistin sisältöä.

Kuvaus: rajojen ulkopuolisen muistin lukemiseen liittyvä ongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2022-32817: Xinru Chi (Pangu Lab)

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi, jolla oli mielivaltaiset kernelin luku- ja kirjoitusoikeudet, saattoi pystyä ohittamaan osoitintodennuksen.

Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)

Liblouis

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi aiheuttaa apin odottamattoman sulkeutumisen tai suorittaa mielivaltaista koodia.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-26981: Hexhive (hexhive.epfl.ch), Kiinan NCNIPC (nipc.org.cn)

libxml2

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä vuotamaan arkaluonteisia käyttäjätietoja.

Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2022-32823

Multi-Touch

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tarkastuksia.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Multi-Touch

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)

Software Update

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: etuoikeutetussa verkkoasemassa oleva käyttäjä pystyi seuraamaan käyttäjän toimintaa.

Kuvaus: ongelma on ratkaistu käyttämällä tiedonsiirtoon verkossa HTTPS-protokollaa.

CVE-2022-32857: Jeffrey Paul (sneak.berlin)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2022-32863: P1umer (@p1umer), afang (@afang5472) ja xmzyshypnc (@xmzyshypnc1)

Kohta lisätty 8.6.2023

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: haitallista sisältöä kehyksissä sisältävän sivuston avaaminen saattoi mahdollistaa käyttöliittymän väärentämisen.

Kuvaus: ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

WebKit Bugzilla: 239316

CVE-2022-32816: Dohyun Lee (@l33d0hyun, SSD Secure Disclosure Labs & DNSLab, Korea Univ.)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

WebKit Bugzilla: 240720

CVE-2022-32792: Manfred Paul (@_manfp) yhteistyössä Trend Micro Zero Day Initiativen kanssa

Wi-Fi

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: etäkäyttäjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2022-32847: Wang Yu (Cyberserval)

Kiitokset

AppleMobileFileIntegrity

Haluamme kiittää Offensive Securityn Csaba Fitzliä (@theevilbit), Trend Micron Mickey Jiniä (@patch1t) ja SecuRingin Wojciech Regułaa (@_r3ggi) heidän antamastaan avusta.

configd

Haluamme kiittää Offensive Securityn Csaba Fitzliä (@theevilbit), Trend Micron Mickey Jiniä (@patch1t) ja SecuRingin Wojciech Regułaa (@_r3ggi) heidän antamastaan avusta.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: