Om sikkerhedsindholdet i watchOS 7.0

Dette dokument beskriver sikkerhedsindholdet i watchOS 7.0.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 7.0

Udgivet 16. september 2020

Audio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab

Post tilføjet 12. november 2020

Audio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et program kan muligvis læse beskyttet hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab

Post tilføjet 12. november 2020

CoreAudio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9960: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 16. marts 2021

CoreAudio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Afspilning af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med bufferoverløb blev løst ved forbedret hukommelsesbehandling.

CVE-2020-9954: Francis, der arbejder med Trend Micros Zero Day Initiative, JunDong Xie fra Ant Group Light-Year Security Lab

Post tilføjet 12. november 2020

CoreCapture

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9949: Proteas

Post tilføjet 12. november 2020

CoreText

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-9999: Apple

Post tilføjet 15. december 2020

Disk Images

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Post tilføjet 12. november 2020

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis læse beskyttet hukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-29629: en anonym programmør

Post tilføjet 19. januar 2022

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9956: Mickey Jin og Junzhi Lu fra Trend Micros Mobile Security Research Team, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 16. marts 2021

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et bufferoverløbsproblem er løst med forbedret godkendelse af størrelse.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Post tilføjet 16. marts 2021

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret inputvalidering.

CVE-2020-27931: Apple

Post tilføjet 16. marts 2021

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2020-29639: Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 21. juli 2021

HomeKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En hacker i en privilegeret netværksposition kan muligvis uventet ændre programstatus

Beskrivelse: Problemet er løst ved forbedret overførsel af indstillinger.

CVE-2020-9978: Luyi Xing, Dongfang Zhao og Xiaofeng Wang fra Indiana University Bloomington, Yan Jia fra Xidian University og University of Chinese Academy of Sciences og Bin Yuan fra HuaZhong University of Science and Technology

Post tilføjet 16. marts 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2020-9961: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 12. november 2020

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9876: Mickey Jin fra Trend Micro

Post tilføjet 12. november 2020

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9955: Mickey Jin fra Trend Micro, Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 15. december 2020

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En hacker kan muligvis udløse pludselig programlukning eller læsning af kernehukommelsen

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Post tilføjet 16. marts 2021

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9975: Tielei Wang fra Pangu Lab

Post tilføjet 16. marts 2021

Keyboard

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan lække følsomme brugeroplysninger

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2020-9976: Rias A. Sherzad fra JAIDE GmbH i Hamborg, Tyskland

libxml2

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9981: fundet af OSS-Fuzz

Post tilføjet 12. november 2020

libxpc

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2020-9971: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Post tilføjet 15. december 2020

Mail

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En hacker kan muligvis uventet ændre programstatus

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-9941: Fabian Ising fra FH Münster University of Applied Sciences og Damian Poddebniak fra FH Münster University of Applied Sciences

Post tilføjet 12. november 2020

Messages

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal bruger kan muligvis finde en brugers slettede beskeder

Beskrivelse: Problemet blev løst ved forbedret sletning.

CVE-2020-9989: von Brunn Media

Post tilføjet 12. november 2020

Phone

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Skærmlåsen aktiveres muligvis ikke efter det angivne tidsrum

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-9946: Daniel Larsson fra iolight AB

Safari

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Besøg på et skadeligt websted kan medføre manipulering med adresselinjen

Beskrivelse: Problemet er løst ved forbedret håndtering af brugergrænsefladen.

CVE-2020-9993: Masato Sugiyama (@smasato) fra University of Tsukuba, Piotr Duszynski

Post tilføjet 12. november 2020

Sandbox

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal bruger kan muligvis få adgang til følsomme brugeroplysninger

Beskrivelse: Et adgangsproblem er løst med yderligere sandbox-begrænsninger.

CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)

Post tilføjet 12. november 2020

Sandbox

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis få adgang til begrænsede arkiver

Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.

CVE-2020-9968: Adam Chester (@_xpn_) fra TrustedSec

Post opdateret 17. september 2020

SQLite

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Post tilføjet 12. november 2020

SQLite

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Flere problemer i SQLite

Beskrivelse: Flere problemer blev løst ved at opdatere SQLite til version 3.32.3.

CVE-2020-15358

Post tilføjet 12. november 2020

SQLite

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et problem med afsløring af oplysninger er løst via forbedret statusadministration.

CVE-2020-9849

Post tilføjet 12. november 2020

SQLite

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En skadelig SQL-forespørgsel kan føre til beskadigelse af data

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2020-13631

Post tilføjet 12. november 2020

SQLite

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2020-13630

Post tilføjet 12. november 2020

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2020-9947: cc, der arbejder med Trend Micros Zero Day Initiative

CVE-2020-9950: cc, der arbejder med Trend Micros Zero Day Initiative

CVE-2020-9951: Marcin "Icewall" Noga fra Cisco Talos

Post tilføjet 12. november 2020

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2020-9983: zhunki

Post tilføjet 12. november 2020

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til scriptingangreb på tværs af websteder

Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Yderligere anerkendelser

Audio

Vi vil gerne takke JunDong Xie og Xingwei Lin fra Ant-Financial Light-Year Security Lab for hjælpen.

Post tilføjet 16. marts 2021

Audio

Vi vil gerne takke JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab for hjælpen.

Post tilføjet 12. november 2020

Bluetooth

Vi vil gerne takke Andy Davis fra NCC Group for hjælpen.

Clang

Vi vil gerne takke Brandon Azad fra Google Project Zero for hjælpen.

Post tilføjet 12. november 2020

Core Location

Vi vil gerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjælpen.

Crash Reporter

Vi vil gerne takke Artur Byszko fra AFINE for hjælpen.

Post tilføjet 15. december 2020

iAP

Vi vil gerne takke Andy Davis fra NCC Group for hjælpen.

Post tilføjet 12. november 2020

Kernel

Vi vil gerne takke Brandon Azad fra Google Project Zero, Stephen Röttger fra Google for hjælpen.

Post opdateret 12. november 2020

libxml2

Vi vil gerne takke en anonym programmør for hjælpen.

Post tilføjet 16. marts 2021

Location Framework

Vi vil gerne takke Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) for hjælpen.

Post opdateret 19. oktober 2020

Mail Drafts

Vi vil gerne takke Jon Bottarini fra HackerOne for hjælpen.

Post tilføjet 12. november 2020

Safari

Vi vil gerne takke Andreas Gutmann (@KryptoAndI) fra OneSpan's Innovation Centre (onespan.com) og University College London, Steven J. Murdoch (@SJMurdoch) fra OneSpan's Innovation Centre (onespan.com) og University College London, Jack Cable fra Lightning Security, Ryan Pickren (ryanpickren.com), Yair Amit for hjælpen.

Post tilføjet 19. oktober 2020, opdateret 12. november 2020

WebKit

Vi vil gerne takke Pawel Wylecial fra REDTEAM.PL, Ryan Pickren (ryanpickren.com) for hjælpen.

Post tilføjet 12. november 2020

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: