Tietoja watchOS 7.0:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 7.0:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 7.0

Julkaistu 16.9.2020

Audio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)

Kohta lisätty 12.11.2020

Audio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)

Kohta lisätty 12.11.2020

CoreAudio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9960: JunDong Xie ja Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 16.3.2021

CoreAudio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2020-9954: Trend Micron Zero Day Initiativen parissa työskentelevä Francis, JunDong Xie (Ant Group Light-Year Security Lab)

Kohta lisätty 12.11.2020

CoreCapture

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9949: Proteas

Kohta lisätty 12.11.2020

CoreText

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-9999: Apple

Kohta lisätty 15.12.2020

Disk Images

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Kohta lisätty 12.11.2020

FontParser

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-29629: nimetön tutkija

Kohta lisätty 19.1.2022

FontParser

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9956: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Junzhi Lu (Trend Micro Mobile Security Research Team)

Kohta lisätty 16.3.2021

FontParser

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Puskurin ylivuoto on korjattu parantamalla koon tarkistusta.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Kohta lisätty 16.3.2021

FontParser

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2020-27931: Apple

Kohta lisätty 16.3.2021

FontParser

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2020-29639: Trend Micron Zero Day Initiativen parissa työskentelevät Mickey Jin ja Qi Sun (Trend Micro)

Kohta lisätty 21.7.2021

HomeKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä muuttamaan apin tilaa odottamattomasti.

Kuvaus: Ongelma on ratkaistu parantamalla asetusten levittämistä.

CVE-2020-9978: Luyi Xing, Dongfang Zhao ja Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University ja University of Chinese Academy of Sciences) sekä Bin Yuan (HuaZhong University of Science and Technology)

Kohta lisätty 16.3.2021

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen tiff-tiedoston käsitteleminen saattoi aiheuttaa palveluneston tai mahdollisesti paljastaa muistin sisällön.

Kuvaus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-36521: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Kohta lisätty 25.5.2022

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 12.11.2020

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen PDF-tiedoston avaaminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9876: Mickey Jin (Trend Micro)

Kohta lisätty 12.11.2020

ImageIO

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Kohta lisätty 15.12.2020

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Kohta lisätty 16.3.2021

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Kohta lisätty 16.3.2021

Keyboard

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH, Hampuri, Saksa)

libxml2

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9981: ongelman havaitsi OSS-Fuzz

Kohta lisätty 12.11.2020

libxpc

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.

CVE-2020-9971: Zhipeng Huo (@R3dF09, Tencent Security Xuanwu Lab)

Kohta lisätty 15.12.2020

Mail

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä muuttamaan apin tilaa odottamatta.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) ja Damian Poddebniak (FH Münster University of Applied Sciences)

Kohta lisätty 12.11.2020

Messages

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi löytää käyttäjän poistetut viestit.

Kuvaus: Ongelma on ratkaistu parantamalla poistamista.

CVE-2020-9989: von Brunn Media

Kohta lisätty 12.11.2020

Phone

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Näytön lukitus ei joskus mennyt päälle määritetyn ajanjakson jälkeen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-9946: Daniel Larsson (iolight AB)

Safari

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa osoiterivin väärentämisen.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

CVE-2020-9993: Masato Sugiyama (@smasato, University of Tsukuba), Piotr Duszynski

Kohta lisätty 12.11.2020

Sandbox

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen käyttäjä saattoi pystyä tarkastelemaan arkaluontoisia käyttäjätietoja.

Kuvaus: Käyttöoikeusongelma on ratkaistu lisäämällä eristysrajoituksia.

CVE-2020-9969: Wojciech Reguła, SecuRing (wojciechregula.blog)

Kohta lisätty 12.11.2020

Sandbox

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallinen ohjelma saattoi pystyä käyttämään rajoitettuja tiedostoja.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2020-9968: Adam Chester (@_xpn_, TrustedSec)

Kohta päivitetty 17.9.2020

SQLite

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Kohta lisätty 12.11.2020

SQLite

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: SQLitessa esiintyi useita ongelmia.

Kuvaus: Useita ongelmia ratkaistiin päivittämällä SQLite versioon 3.32.3.

CVE-2020-15358

Kohta lisätty 12.11.2020

SQLite

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Tietojen paljastumisen ongelma ratkaistiin parantamalla tilanhallintaa.

CVE-2020-9849

Kohta lisätty 12.11.2020

SQLite

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallinen SQL-kysely saattoi aiheuttaa tietojen vioittumisen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2020-13631

Kohta lisätty 12.11.2020

SQLite

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.

CVE-2020-13630

Kohta lisätty 12.11.2020

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2020-9947: Trend Micron Zero Day Initiativen parissa työskentelevä cc

CVE-2020-9950: Trend Micron Zero Day Initiativen parissa työskentelevä cc

CVE-2020-9951: Marcin ”Icewall” Noga (Cisco Talos)

Kohta lisätty 12.11.2020

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2020-9983: zhunki

Kohta lisätty 12.11.2020

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Kiitokset

Audio

Haluamme kiittää JunDong Xieta ja Xingwei Liniä (Ant-Financial Light-Year Security Lab) heidän avustaan.

Kohta lisätty 16.3.2021

Audio

Haluamme kiittää JunDong Xieta ja XingWei Liniä (Ant-Financial Light-Year Security Lab) heidän avustaan.

Kohta lisätty 12.11.2020

Bluetooth

Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.

Clang

Haluamme kiittää Brandon Azadia (Google Project Zero) hänen avustaan.

Kohta lisätty 12.11.2020

Core Location

Haluamme kiittää Yiğit Can YILMAZia (@yilmazcanyigit) hänen avustaan.

Crash Reporter

Haluamme kiittää Artur Byszkoa (AFINE) hänen avustaan.

Kohta lisätty 15.12.2020

iAP

Haluamme kiittää NCC Groupin Andy Davisia hänen avustaan.

Kohta lisätty 12.11.2020

Kernel

Haluamme kiittää Brandon Azadia (Google Project Zero) ja Stephen Röttgeriä (Google) heidän avustaan.

Kohta päivitetty 12.11.2020

libxml2

Haluamme kiittää nimetöntä tutkijaa hänen avustaan.

Kohta lisätty 16.3.2021

Location Framework

Haluamme kiittää Nicolas Brunneria (linkedin.com/in/nicolas-brunner-651bb4128) hänen avustaan.

Kohta päivitetty 19.10.2020

Mail Drafts

Haluamme kiittää Jon Bottarinia (HackerOne) hänen avustaan.

Kohta lisätty 12.11.2020

Safari

Haluamme kiittää seuraavia heidän avustaan: OneSpanin Innovation Centren (onespan.com) ja University College Londonin Andreas Gutmann (@KryptoAndI) ja Steven J. Murdoch (@SJMurdoch), Lightning Securityn Jack Cable, Ryan Pickren (ryanpickren.com), Yair Amit.

Kohta lisätty 19.10.2020, päivitetty 12.11.2020

WebKit

Haluamme kiittää REDTEAM.PL:n Pawel Wylecialia ja Ryan Pickrenia (ryanpickren.com) heidän avustaan.

Kohta lisätty 12.11.2020

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: