Om sikkerhedsindholdet i watchOS 7.3

Dette dokument beskriver sikkerhedsindholdet i watchOS 7.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.

watchOS 7.3

Udgivet 26. januar 2021

Analyse

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1761: Cees Elzinga

Post tilføjet 1. februar 2021

APFS

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal bruger kan muligvis læse vilkårlige arkiver

Beskrivelse: Problemet er løst med forbedret tilladelseslogik.

CVE-2021-1797: Thomas Tempelmann

Post tilføjet 1. februar 2021

CoreAnimation

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kunne køre vilkårlig kode, hvilket medførte afsløring af brugeroplysninger

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2021-1760: @S0rryMybad fra 360 Vulcan Team

Post tilføjet 1. februar 2021

CoreAudio

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1747: JunDong Xie fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021

CoreGraphics

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-skriveproblem blev løst via forbedret kontrol af grænser.

CVE-2021-1776: Ivan Fratric fra Google Project Zero

Post tilføjet 1. februar 2021

CoreText

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med stackoverløb er løst ved hjælp af forbedret inputvalidering.

CVE-2021-1772: Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

CoreText

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1792: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

Crash Reporter

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal bruger kan muligvis oprette eller redigere systemarkiver

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1786: Csaba Fitzl (@theevilbit) fra Offensive Security

Post tilføjet 1. februar 2021

Crash Reporter

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2021-1787: James Hutchins

Post tilføjet 1. februar 2021

FairPlay

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis afsløre kernehukommelse

Beskrivelse: Der var et "out-of-bounds"-indlæsningsproblem, som ledte til offentliggørelse af kernehukommelse. Dette er løst via forbedret godkendelse af input.

CVE-2021-1791: Junzhi Lu(@pwn0rz), Qi Sun og Mickey Jin fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

FontParser

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1758: Peter Nguyen fra STAR Labs

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1818: Xingwei Lin fra Ant-Financial Light-Year Security Lab

Post tilføjet 16. marts 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1773: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1766: Danny Rosseau fra Carve Systems

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1785: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Der var et out-of-bounds-skriveproblem, som er løst ved forbedret inputvalidering.

CVE-2021-1744: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.

CVE-2021-1818: Xingwei Lin fra Ant-Financial Light-Year Security Lab

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Problemet er løst ved forbedret kontrol.

CVE-2021-1742: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin(@singi21a) fra THEORI, Mickey Jin og Qi Sun fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1741: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin og Junzhi Lu fra Trend Micro, der arbejder med Trend Micros Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: Det var et out-of-bounds-læseproblem i curl. Problemet er løst ved forbedret kontrol af grænser.

CVE-2021-1778: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021

ImageIO

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode

Beskrivelse: Et adgangsproblem er løst gennem forbedret hukommelseshåndtering.

CVE-2021-1783: Xingwei Lin fra Ant Security Light-Year Lab

Post tilføjet 1. februar 2021

IOSkywalkFamily

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En lokal hacker kan opnå hævede rettigheder

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2021-1757: Proteas og Pan ZhenPeng (@Peterpan0927) fra Alibaba Security

Post tilføjet 1. februar 2021

iTunes Store

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af en skadelig URL-adresse kan medføre kørsel af vilkårlig javascript-kode

Beskrivelse: Et valideringsproblem er løst ved hjælp af forbedret rensning af input.

CVE-2021-1748: CodeColorist, der arbejder med Ant Security Light-Year Labs

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-1764: @m00nbsd

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer er løst via forbedret logik.

CVE-2021-1750: @0xalsr

Post tilføjet 1. februar 2021

Kernel

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder. Apple er opmærksom på, at dette problem kan være blevet aktivt udnyttet.

Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.

CVE-2021-1782: En anonym programmør

Swift

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: En hacker med vilkårlig mulighed for at læse og skrive kan muligvis omgå markørgodkendelse

Beskrivelse: Et logikproblem er løst via forbedret godkendelse.

CVE-2021-1769: CodeColorist fra Ant-Financial Light-Year Labs

Post tilføjet 1. februar 2021

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.

CVE-2021-1788: Francisco Alonso (@revskills)

Post tilføjet 1. februar 2021, opdateret 16 marts 2021

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.

CVE-2021-1789: @S0rryMybad fra 360 Vulcan Team

Post tilføjet 1. februar 2021

WebKit

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Behandling af skadeligt webindhold kan medføre overtrædelse af sandbox-politikken for iframe

Beskrivelse: Problemet blev løst ved forbedret sandbox-håndhævelse for iframe.

CVE-2021-1801: Eliya Stein fra Confiant

Post tilføjet 1. februar 2021

WebRTC

Fås til: Apple Watch Series 3 og nyere modeller

Effekt: Et skadeligt websted kan muligvis have adgang til fortrolige porte på vilkårlige servere

Beskrivelse: Et problem med omdirigering til en port blev håndteret ved hjælp af yderligere portvalidering.

CVE-2021-1799: Gregory Vishnepolsky og Ben Seri fra Armis Security samt Samy Kamkar

Post tilføjet 1. februar 2021

Yderligere anerkendelser

iTunes Store

Vi vil gerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjælpen.

Post tilføjet 1. februar 2021

Kernel

Vi vil gerne takke Junzhi Lu (@pwn0rz), Mickey Jin og Jesse Change fra Trend Micro for hjælpen.

Post tilføjet 1. februar 2021

libpthread

Vi vil gerne takke CodeColorist fra Ant-Financial Light-Year Labs for hjælpen.

Post tilføjet 1. februar 2021

Store Demo

Vi vil gerne takke @08Tc3wBB for hjælpen.

Post tilføjet 1. februar 2021

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: