Tietoja watchOS 7.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 7.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

watchOS 7.3

Julkaistu 26.1.2021

Analyysi

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-1761: Cees Elzinga

Kohta lisätty 1.2.2021

APFS

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan mielivaltaisia tiedostoja.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.

CVE-2021-1797: Thomas Tempelmann

Kohta lisätty 1.2.2021

CoreAnimation

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi suorittaa mielivaltaista koodia, mikä vaaransi käyttäjätiedot.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2021-1760: @S0rryMybad (360 Vulcan Team)

Kohta lisätty 1.2.2021

CoreAudio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-1747: JunDong Xie (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021

CoreGraphics

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2021-1776: Ivan Fratric (Google Project Zero)

Kohta lisätty 1.2.2021

CoreText

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2021-1772: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin (Trend Micro)

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

CoreText

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-1792: Trend Micron Zero Day Initiativen parissa työskentelevä Mickey Jin ja Junzhi Lu (Trend Micro)

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

Kaatumisen raportoija

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi kyetä luomaan tai muokkaamaan järjestelmätiedostoja.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-1786: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 1.2.2021

Kaatumisen raportoija

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.

Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.

CVE-2021-1787: James Hutchins

Kohta lisätty 1.2.2021

FairPlay

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä

Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2021-1791: Trend Micron Zero Day Initiativen parissa työskentelevät Junzhi Lu (@pwn0rz), Qi Sun ja Mickey Jin (Trend Micro)

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

FontParser

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-1758: Peter Nguyen (STAR Labs)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 16.3.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-1773: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-1766: Danny Rosseau (Carve Systems)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-1785: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-1744: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-1818: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-1742: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1746: Jeonghoon Shin (@singi21a, THEORI), Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1754: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1774: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1777: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1793: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2021-1741: Xingwei Lin (Ant Security Light-Year Lab)

CVE-2021-1743: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Junzhi Lu (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Curlissa esiintyi rajojen ulkopuolisen muistin lukuun liittyvä ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistamista.

CVE-2021-1778: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Käyttöoikeusongelma on korjattu parantamalla muistin hallintaa.

CVE-2021-1783: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 1.2.2021

IOSkywalkFamily

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-1757: Proteas ja Pan ZhenPeng (@Peterpan0927, Alibaba Security)

Kohta lisätty 1.2.2021

iTunes Store

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen URL-osoitteen käsitteleminen saattoi aiheuttaa mielivaltaisen javascript-koodin suorittamisen.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2021-1748: CodeColorist yhdessä Ant Security Light-Year Labsin kanssa

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2021-1764: @m00nbsd

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Useita ongelmia on korjattu parantamalla logiikkaa.

CVE-2021-1750: @0xalsr

Kohta lisätty 1.2.2021

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet..Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2021-1782: nimetön tutkija

Swift

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Hyökkääjä, jolla oli mielivaltaiset luku- ja kirjoitusoikeudet, saattoi ohittaa osoitintodennuksen

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2021-1769: CodeColorist (Ant-Financial Light-Year Labs)

Kohta lisätty 1.2.2021

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2021-1788: Francisco Alonso (@revskills)

Kohta lisätty 1.2.2021, päivitetty 16.3.2021

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla tilan käsittelyä.

CVE-2021-1789: @S0rryMybad (360 Vulcan Team)

Kohta lisätty 1.2.2021

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallinen verkkosisältö saattoi rikkoa iframe-eristyskäytännön.

Kuvaus: Ongelma on ratkaistu parantamalla iframe-eristyksen toimeenpanoa.

CVE-2021-1801: Eliya Stein (Confiant)

Kohta lisätty 1.2.2021

WebRTC

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallinen verkkosivusto saattoi kyetä käyttämään satunnaisten palvelimien rajoitettuja portteja.

Kuvaus: Portin uudelleenohjausongelma korjattiin lisäämällä portin tarkistuksia.

CVE-2021-1799: Gregory Vishnepolsky ja Ben Seri (Armis Security) sekä Samy Kamkar

Kohta lisätty 1.2.2021

Kiitokset

iTunes Store

Haluamme kiittää CodeColoristia (Ant-Financial Light-Year Labs) hänen avustaan.

Kohta lisätty 1.2.2021

Kernel

Haluamme kiittää seuraavia heidän avustaan: Junzhi Lu (@pwn0rz), Mickey Jin ja Jesse Change (Trend Micro).

Kohta lisätty 1.2.2021

libpthread

Haluamme kiittää CodeColoristia (Ant-Financial Light-Year Labs) hänen avustaan.

Kohta lisätty 1.2.2021

Store Demo

Haluamme kiittää käyttäjää @08Tc3wBB hänen avustaan.

Kohta lisätty 1.2.2021

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: