Tietoja watchOS 7.6:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 7.6:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 7.6
Julkaistu 19.7.2021
ActionKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Oikotie saattoi pystyä ohittamaan internet-yhteyden lupavaatimukset
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)
Analytics
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä käyttämään analytiikkatietoja.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Kohta lisätty 25.10.2021, päivitetty 25.5.2022
App Store
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia.
Kuvaus: käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-31006: Csaba Fitzl (@theevilbit, Offensive Security)
Kohta lisätty 25.5.2022
Audio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30781: tr3e
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)
CoreText
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30789: Mickey Jin (@patch1t, Trend Micro), Sunglin (Knownsec 404 team)
Crash Reporter
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30774: Yizhuo Wang of Group – Software Security In Progress (G.O.S.S.I.P), Shanghai Jiao Tong University
CVMS
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30780: Tim Michaud (@TimGMichaud, Zoom Video Communications)
dyld
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: eristetty prosessi saattoi pystyä kiertämään eristysrajoitukset.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30760: Sunglin (Knownsec 404 team)
FontParser
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen tiff-tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30788: Trend Micron Zero Day Initiativen parissa työskentelevä tr3e
FontParser
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-30759: Trend Micron Zero Day Initiativen parissa työskentelevä hjy79425575
Identity Service
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan koodin allekirjoitustarkistukset
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30773: Linus Henze (pinauten.de)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat, Baidu Security)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.
CVE-2021-30785: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin (@patch1t, Trend Micro)
Kohta päivitetty 19.1.2022
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: ytimen koodia suorittanut hyökkääjä saattoi pystyä ohittamaan ydinmuistin korjaavat toimet.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-3518
Networking
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisella verkkosivulla käynti saattoi aiheuttaa järjestelmän palveluneston.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Kohta lisätty 25.10.2021
TCC
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tiettyjä tietosuoja-asetuksia.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30798: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin (@patch1t, Trend Micro)
Kohta päivitetty 19.1.2022
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2021-30758: Christoph Guttandin (Media Codings)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30795: Sergei Glazunov (Google Project Zero)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30797: Ivan Fratric (Google Project Zero)
Kiitokset
CoreText
Haluamme kiittää Mickey Jinia (@patch1t, Trend Micro) hänen avustaan.
Power Management
Haluamme kiittää avusta Pan ZhenPengiä (@Peterpan0927, Alibaba Security Pandora Lab), Csaba Fitzlia (@theevilbit) ja Lisandro Ubiedoa (@_lubiedo, Stratosphere Lab).
Kohta lisätty 6.6.2023
Safari
Haluamme kiittää avusta nimetöntä tutkijaa.
Sandbox
Haluamme kiittää Csaba Fitzliä (@theevilbit, Offensive Security) hänen avustaan.
sysdiagnose
Haluamme kiittää avusta Carter Jonesia (linkedin.com/in/carterjones/) ja Tim Michaudia (@TimGMichaud) (Zoom Video Communications), Csaba Fitzliä (@theevilbit) (Offensive Security), Pan ZhenPengia (@Peterpan0927) (Alibaba Security Pandora Lab) ja Wojciech Regułaa (@_r3ggi) (SecuRing).
Kohta lisätty 25.5.2022, päivitetty 16.7.2024
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.