Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 7.4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 7.4.

Πληροφορίες σχετικά με τις ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 7.4

AppleMobileFileIntegrity

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να παρακάμψει τις προτιμήσεις απορρήτου

Περιγραφή: Ένα πρόβλημα με την επικύρωση υπογραφής κώδικα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1849: Siguza

Audio

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1808: JunDong Xie του Ant Security Light-Year Lab

CFNetwork

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποκαλύψει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-1857: ανώνυμος ερευνητής

Compression

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής

Περιγραφή: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα.

CVE-2021-30752: Ye Zhang (@co0py_Cat) της Baidu Security

CoreAudio

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30664: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1846: JunDong Xie του Ant Security Light-Year Lab

CoreAudio

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1809: JunDong Xie του Ant Security Light-Year Lab

CoreFoundation

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-30659: Thijs Alkemade της Computest

CoreText

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1811: Xingwei Lin του Ant Security Light-Year Lab

FaceTime

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η σίγαση μιας κλήσης CallKit ενώ χτυπά ενδέχεται να μην έχει ως αποτέλεσμα την ενεργοποίηση της σίγασης

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1872: Siraj Zaneer του Facebook

FontParser

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1881: ανώνυμος ερευνητής, Xingwei Lin του Ant Security Light-Year Lab, Mickey Jin της Trend Micro και Hou JingYi (@hjy79425575) της Qihoo 360

Foundation

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)

Foundation

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2021-1813: Cees Elzinga

Heimdal

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλων μηνυμάτων διακομιστή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)

Heimdal

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)

ImageIO

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2021-1880: Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-30653: Ye Zhang της Baidu Security

CVE-2021-1814: Ye Zhang της Baidu Security, Mickey Jin & Qi Sun της Trend Micro και Xingwei Lin του Ant Security Light-Year Lab

CVE-2021-1843: Ye Zhang της Baidu Security

ImageIO

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1885: CFF της Topsec Alpha Team

ImageIO

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-1858: Mickey Jin της Trend Micro

ImageIO

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής

Περιγραφή: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα.

CVE-2021-30743: Ye Zhang (@co0py_Cat) της Baidu Security, Jzhu σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab, CFF της Topsec Alpha Team, Jeonghoon Shin (@singi21a) της THEORI σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

ImageIO

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους

Περιγραφή: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα.

CVE-2021-30764: Ανώνυμος σε συνεργασία με την πρωτοβουλία Zero Day Initiative της Trend Micro

iTunes Store

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με εκτέλεση JavaScript ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1864: CodeColorist του Ant-Financial LightYear Labs

Kernel

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-1860: @0xalsr

Kernel

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2021-1816: Tielei Wang του Pangu Lab

Kernel

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1851: @0xalsr

Kernel

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Τα αντιγραμμένα αρχεία ενδέχεται να μην έχουν τα αναμενόμενα δικαιώματα αρχείων

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική δικαιωμάτων.

CVE-2021-1832: ανώνυμος ερευνητής

Kernel

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκαλύψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2021-30660: Alex Plaskett

libxpc

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επαλήθευσης.

CVE-2021-30652: James Hutchins

libxslt

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «double free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-1875: Εντοπίστηκε από το OSS-Fuzz

MobileInstallation

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-1822: Bruno Virlet της The Grizzly Labs

Preferences

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα με τον χειρισμό διαδρομών καταλόγων αντιμετωπίστηκε με βελτίωση της επικύρωσης διαδρομών.

CVE-2021-1815: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1739: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

CVE-2021-1740: Zhipeng Huo (@R3dF09) και Yuebin Sun (@yuebinsun2020) του Tencent Security Xuanwu Lab (xlab.tencent.com)

Safari

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να εγγράφει αυθαίρετα αρχεία

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2021-1807: David Schütz (@xdavidhu)

Tailspin

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προβιβάσει τα προνόμιά του

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1868: Tim Michaud της Zoom Communications

WebKit

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2021-1825: Alex Camboe της Aon’s Cyber Solutions

WebKit

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2021-1817: zhunki

WebKit

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2021-1826: ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2021-1820: André Bargull

WebKit Storage

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα. Η Apple έχει λάβει υπόψη της μια αναφορά ότι αυτό το πρόβλημα ενδέχεται να προκαλεί ενεργή εκμετάλλευση ευπάθειας.

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2021-30661: yangkang (@dnpushme) της 360 ATA

WebRTC

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης

Περιγραφή: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα.

CVE-2020-7463: Megan2013678

Wi-Fi

Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα

Αποτέλεσμα: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης

Περιγραφή: Μια υπερχείλιση buffer μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα.

CVE-2021-1770: Jiska Classen (@naehrdine) του Secure Mobile Networking Lab, TU Darmstadt

Επιπλέον αναγνώριση

AirDrop

Θα θέλαμε να ευχαριστήσουμε τον @maxzks για τη βοήθειά του.

CoreAudio

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

CoreCrypto

Θα θέλαμε να ευχαριστήσουμε τον Andy Russon της Orange Group για τη βοήθειά του.

File Bookmark

Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.

Foundation

Θα θέλαμε να ευχαριστήσουμε τον CodeColorist του Ant-Financial LightYear Labs για τη βοήθειά του.

Kernel

Θα θέλαμε να ευχαριστήσουμε τους Antonio Frighetto του Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) της SensorFu, Proteas και Tielei Wang του Pangu Lab για τη βοήθειά τους.

Security

Θα θέλαμε να ευχαριστήσουμε τους Xingwei Lin του Ant Security Light-Year Lab και john (@nyan_satan) για τη βοήθειά τους.

sysdiagnose

Θα θέλαμε να ευχαριστήσουμε τον Tim Michaud (@TimGMichaud) της Leviathan για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τον Emilio Cobos Álvarez της Mozilla για τη βοήθειά του.