Om sikkerhedsindholdet i watchOS 7.6

I dette dokument beskrives sikkerhedsindholdet i watchOS 7.6.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 7.6

ActionKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En genvej kan muligvis omgå krav til internettilladelser

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)

Analytics

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal hacker kan få adgang til indhold i analysedata

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

App Store

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis omgå visse indstillinger for fortrolighed

Beskrivelse: Et tilladelsesproblem er løst via forbedret godkendelse.

CVE-2021-31006: Csaba Fitzl (@theevilbit) fra Offensive Security

Audio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal hacker kan forårsage pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30781: tr3e

CoreAudio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-30775: JunDong Xie fra Ant Security Light-Year Lab

CoreAudio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30776: JunDong Xie fra Ant Security Light-Year Lab

CoreText

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-30789: Mickey Jin (@patch1t) fra Trend Micro, Sunglin fra Knownsec 404 team

Crash Reporter

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30774: Yizhuo Wang fra Group of Software Security In Progress (G.O.S.S.I.P) ved Shanghai Jiao Tong University

CVMS

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis opnå rodrettigheder

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-30780: Tim Michaud (@TimGMichaud) fra Zoom Video Communications

dyld

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2021-30760: Sunglin fra Knownsec 404 team

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt tiff-arkiv kan føre til et DoS-angreb eller muligvis afsløre hukommelsesindhold

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30788: tr3e, der arbejder med Trend Micros Zero Day Initiative

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2021-30759: hjy79425575, der arbejder med Trend Micros Zero Day Initiative

Identity Service

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan tilsidesætte kontrol af kodesignering

Beskrivelse: Et problem med validering af kodesignatur er løst med forbedret kontrol.

CVE-2021-30773: Linus Henze (pinauten.de)

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30779: Jzhu, Ye Zhang(@co0py_Cat) fra Baidu Security

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst gennem forbedret kontrol af grænser.

CVE-2021-30785: Mickey Jin (@patch1t) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En hacker, der allerede har opnået kørsel af kernekode, kan muligvis være i stand til at omgå løsning af kernehukommelsen

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-3518

Networking

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Besøg på en skadelig hjemmeside kan resultere i DoS

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

TCC

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis omgå visse indstillinger for fortrolighed

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-30798: Mickey Jin (@patch1t) fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-30758: Christoph Guttandin fra Media Codings

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev løst ved forbedret hukommelseshåndtering.

CVE-2021-30795: Sergei Glazunov fra Google Project Zero

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-30797: Ivan Fratric fra Google Project Zero

Yderligere anerkendelser

CoreText

Vi vil gerne takke Mickey Jin (@patch1t) fra Trend Micro for hjælpen.

Power Management

Vi vil gerne takke Pan ZhenPeng(@Peterpan0927) fra Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) og Lisandro Ubiedo (@_lubiedo) fra Stratosphere Lab for hjælpen.

Safari

Vi vil gerne takke en anonym programmør for hjælpen.

Sandbox

Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.

sysdiagnose

Vi vil gerne takke Carter Jones (linkedin.com/in/carterjones/) og Tim Michaud (@TimGMichaud) fra Zoom Video Communications for hjælpen.