Om sikkerhedsindholdet i watchOS 8
Dette dokument beskriver sikkerhedsindholdet i watchOS 8.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed.
watchOS 8
Accessory Manager
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2021-30837: Siddharth Aeri (@b1n4r1b01)
AppleMobileFileIntegrity
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En lokal hacker kan muligvis læse følsomme oplysninger
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30811: en anonym programmør, der arbejder hos Compartir
bootp
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En enhed kan muligvis spores passivt via enhedens Wi-Fi MAC-adresse
Beskrivelse: Et problem med brugeranonymitet er løst ved at fjerne den udsendende MAC-adresse.
CVE-2021-30866: Fabien Duchêne fra UCLouvain (Belgien)
CoreAudio
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandlingen af en skadelig lydfil kan lede til uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30834: JunDong Xie fra Ant Security Light-Year Lab
CoreGraphics
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2021-30928: Mickey Jin (@patch1t) fra Trend Micro
FaceTime
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program med mikrofontilladelse kan uventet få adgang til mikrofoninput under et FaceTime-opkald
Beskrivelse: Et logikproblem er løst via forbedret godkendelse.
CVE-2021-30882: Adam Bellard og Spencer Reitman fra Airtime
FontParser
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30831: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt dfont-arkiv kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30840: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt dfont-arkiv kan føre til kørsel af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30841: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin fra Ant Security Light-Year Lab
Foundation
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst ved hjælp af forbedret hukommelsesbehandling.
CVE-2021-30852: Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab
ImageIO
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2021-30814: hjy79425575
ImageIO
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt billedarkiv kan medføre afvikling af vilkårlig kode
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30835: Ye Zhang fra Baidu Security
CVE-2021-30847: Mike Zhang fra Pangu Lab
Kernel
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En konkurrencetilstand er løst ved forbedret låsning.
CVE-2021-30857: Manish Bhatt fra Red Team X @Meta, Zweig fra Kunlun Lab
libexpat
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En ekstern hacker kan muligvis fremkalde et Denial of Service-angreb
Beskrivelse: Dette problem blev løst ved at opdatere expat til version 2.4.1.
CVE-2013-0340: en anonym programmør
Preferences
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et program kan muligvis få adgang til begrænsede arkiver
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2021-30855: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Preferences
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En sandbox-proces kan muligvis gå uden om sandbox-begrænsningerne
Beskrivelse: Et logikproblem er løst gennem forbedret statusadministration.
CVE-2021-30854: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis omgå indstillingerne for fortrolighed
Beskrivelse: Problemet er løst med forbedret tilladelseslogik.
CVE-2021-30925: Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2021-30808: Csaba Fitzl (@theevilbit) fra Offensive Security
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Et besøg på et skadeligt websted kan afsløre en brugers browserdata
Beskrivelse: Problemet blev løst med yderligere begrænsninger på CSS-sammensætning.
CVE-2021-30884: en anonym programmør
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med forveksling af typer er løst via forbedret statushåndtering.
CVE-2021-30818: Amar Menezes (@amarekano) fra Zon8Research
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker i en privilegeret netværksposition kan muligvis omgå HSTS
Beskrivelse: Et logikproblem er løst via forbedrede begrænsninger.
CVE-2021-30823: David Gullasch fra Recurity Labs
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af et skadeligt lydarkiv kan medføre afsløring af beskyttet hukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2021-30836: Peter Nguyen Vu Hoang fra STAR Labs
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2021-30809: en anonym programmør
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2021-30846: Sergei Glazunov fra Google Project Zero
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2021-30849: Sergei Glazunov fra Google Project Zero
WebKit
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til kodekørsel
Beskrivelse: En sårbarhed i forbindelse med hukommelsesfejl er blevet rettet gennem forbedret låsning.
CVE-2021-30851: Samuel Groß fra Google Project Zero
Wi-Fi
Fås til: Apple Watch Series 3 og nyere modeller
Effekt: En hacker, der er tæt på rent fysisk, kan tvinge en bruger over på et skadeligt Wi-Fi-netværk under indstilling af enheden
Beskrivelse: Et godkendelsesproblem er løst via forbedret statusadministration.
CVE-2021-30810: Peter Scott
Yderligere anerkendelser
bootp
Vi vil gerne takke Alexander Burke fra alexburke.ca for hjælpen.
FaceTime
Vi vil gerne takke Mohammed Waqqas Kakangarai for hjælpen.
Kernel
Vi vil gerne takke Joshua Baums fra Informatik Baums for hjælpen.
Sandbox
Vi vil gerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjælpen.
UIKit
Vi vil gerne takke Jason Rendel fra Diligent for hjælpen.
UIKit
Vi vil gerne takke Jason Rendel fra Diligent for hjælpen.
WebKit
Vi vil gerne takke Nikhil Mittal (@c0d3G33k) for hjælpen.
Wi-Fi
Vi vil gerne takke Peter Scott for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.