Tietoja watchOS 7.3:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 7.3:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
watchOS 7.3
Analyysi
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1761: Cees Elzinga
APFS
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-1797: Thomas Tempelmann
CoreAnimation
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi suorittaa mielivaltaista koodia, mikä vaaransi käyttäjätiedot.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-1760: @S0rryMybad (360 Vulcan Team)
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1747: JunDong Xie (Ant Security Light-Year Lab)
CoreGraphics
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-1776: Ivan Fratric (Google Project Zero)
CoreText
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2021-1772: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin (Trend Micro)
CoreText
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-1792: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin ja Junzhi Lu (Trend Micro)
Kaatumisen raportoija
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi kyetä luomaan tai muokkaamaan järjestelmätiedostoja.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1786: Csaba Fitzl (@theevilbit, Offensive Security)
Kaatumisen raportoija
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.
CVE-2021-1787: James Hutchins
FairPlay
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.
CVE-2021-1791: Trend Micron Zero Day Initiativen parissa työskentelevät Junzhi Lu (@pwn0rz), Qi Sun ja Mickey Jin (Trend Micro)
FontParser
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-1758: Peter Nguyen (STAR Labs)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1773: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1766: Danny Rosseau (Carve Systems)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1785: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1744: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1742: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1746: Jeonghoon Shin (@singi21a, THEORI), Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1754: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1774: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1777: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1793: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-1741: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1743: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Junzhi Lu (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Curlissa esiintyi rajojen ulkopuolisen muistin lukuun liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistamista.
CVE-2021-1778: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Käyttöoikeusongelma on korjattu parantamalla muistin hallintaa.
CVE-2021-1783: Xingwei Lin (Ant Security Light-Year Lab)
IOSkywalkFamily
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-1757: Proteas ja Pan ZhenPeng (@Peterpan0927, Alibaba Security)
iTunes Store
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen URL-osoitteen käsitteleminen saattoi aiheuttaa mielivaltaisen javascript-koodin suorittamisen.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2021-1748: CodeColorist yhdessä Ant Security Light-Year Labsin kanssa
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-1764: @m00nbsd
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.
CVE-2021-1750: @0xalsr
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet..Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-1782: nimetön tutkija
Swift
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2021-1769: CodeColorist (Ant-Financial Light-Year Labs)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-1788: Francisco Alonso (@revskills)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.
CVE-2021-1789: @S0rryMybad (360 Vulcan Team)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.
Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristyksen toimeenpanoa.
CVE-2021-1801: Eliya Stein (Confiant)
WebRTC
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallinen verkkosivusto saattoi kyetä käyttämään satunnaisten palvelimien rajoitettuja portteja.
Kuvaus: Portin uudelleenohjausongelma korjattiin lisäämällä portin tarkistuksia.
CVE-2021-1799: Gregory Vishnepolsky ja Ben Seri (Armis Security) sekä Samy Kamkar
Kiitokset
iTunes Store
Haluamme kiittää CodeColoristia (Ant-Financial Light-Year Labs) hänen avustaan.
Kernel
Haluamme kiittää seuraavia heidän avustaan: Junzhi Lu (@pwn0rz), Mickey Jin ja Jesse Change (Trend Micro).
libpthread
Haluamme kiittää CodeColoristia (Ant-Financial Light-Year Labs) hänen avustaan.
Store Demo
Haluamme kiittää käyttäjää @08Tc3wBB hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.