Mengenai konten keamanan watchOS 8.7
Dokumen ini menjelaskan konten keamanan watchOS 8.7.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 8.7
APFS
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App dengan hak istimewa root mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32832: Tommy Muir (@Muirey03)
AppleAVD
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna jarak jauh mungkin dapat mengakibatkan eksekusi kode kernel
Deskripsi: Masalah kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-32788: Natalie Silvanovich dari Google Project Zero
AppleAVD
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32824: Antonio Zekic (@antoniozekic) dan John Aakerblom (@jaakerblom)
AppleMobileFileIntegrity
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Masalah otorisasi telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-32826: Mickey Jin (@patch1t) dari Trend Micro
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat keluar dari sandbox
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32845: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32840: Mohamed Ghannam (@_simo36)
Apple Neural Engine
Tersedia untuk perangkat dengan Apple Neural Engine: Apple Watch Series 4 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32810: Mohamed Ghannam (@_simo36)
Audio
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-32820: peneliti anonim
Audio
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32825: John Aakerblom (@jaakerblom)
CoreText
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna dari jarak jauh dapat mengakibatkan app berhenti tiba-tiba atau kode arbitrer dieksekusi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-32839: STAR Labs (@starlabs_sg)
File System Events
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat memperoleh hak istimewa root
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-32819: Joshua Mason dari Mandiant
GPU Drivers
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Beberapa masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-32793: peneliti anonim
GPU Drivers
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.
CVE-2022-32821: John Aakerblom (@jaakerblom)
ICU
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-32787: Dohyun Lee (@l33d0hyun) dari SSD Secure Disclosure Labs & DNSLab, Korea Univ.
ImageIO
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32841: hjy79425575
JavaScriptCore
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-48503: Dongzhuo Zhao bekerja sama dengan ADLab of Venustech, dan ZhaoHai of Cyberpeace Tech Co., Ltd.
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App dengan hak istimewa root mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ini telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32813: Xinru Chi dari Pangu Lab
CVE-2022-32815: Xinru Chi dari Pangu Lab
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengungkapkan memori kernel
Deskripsi: Masalah pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2022-32817: Xinru Chi dari Pangu Lab
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App dengan kemampuan membaca dan menulis kernel arbitrer mungkin dapat melewati Autentikasi Penunjuk
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2022-32844: Sreejith Krishnan R (@skr0x1c0)
Liblouis
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App dapat mengakibatkan app berhenti tiba-tiba atau kode arbitrer dieksekusi
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-26981: Hexhive (hexhive.epfl.ch), NCNIPC Tiongkok (nipc.org.cn)
libxml2
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App dapat membocorkan informasi rahasia pengguna
Deskripsi: Masalah inisialisasi memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2022-32823
Multi-Touch
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Multi-Touch
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2022-32814: Pan ZhenPeng (@Peterpan0927)
Software Update
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna di posisi jaringan dengan hak istimewa dapat melacak aktivitas pengguna
Deskripsi: Masalah ini diatasi dengan menggunakan HTTPS saat mengirim informasi melalui jaringan.
CVE-2022-32857: Jeffrey Paul (sneak.berlin)
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi dengan pengelolaan status yang ditingkatkan.
CVE-2022-32863: P1umer (@p1umer), afang (@afang5472), dan xmzyshypnc (@xmzyshypnc1)
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Membuka situs web yang menampilkan bingkai konten berbahaya dapat mengakibatkan spoofing UI
Deskripsi: Masalah ini telah diatasi dengan penanganan UI yang ditingkatkan.
CVE-2022-32816: Dohyun Lee (@l33d0hyun) dari SSD Secure Disclosure Labs & DNSLab, Korea Univ.
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penulisan di luar batas telah diatasi dengan validasi input yang ditingkatkan.
CVE-2022-32792: Manfred Paul (@_manfp) yang bekerja sama dengan Zero Day Initiative dari Trend Micro
Wi-Fi
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna jarak jauh mungkin dapat mengakibatkan sistem terhenti tiba-tiba atau memori kernel rusak
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2022-32847: Wang Yu dari Cyberserval
Ucapan terima kasih tambahan
AppleMobileFileIntegrity
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security, Mickey Jin (@patch1t) dari Trend Micro, dan Wojciech Reguła (@_r3ggi) dari SecuRing atas bantuannya.
configd
Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security, Mickey Jin (@patch1t) dari Trend Micro, dan Wojciech Reguła (@_r3ggi) dari SecuRing atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.