Tietoja watchOS 7.4:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 7.4:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 7.4
Julkaistu 26.4.2021
AppleMobileFileIntegrity
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Koodien allekirjoitusten validointiongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1849: Siguza
Audio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi paljastaa arkaluonteisia käyttäjätietoja
Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-1857: nimetön tutkija
Compression
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
Kuvaus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
CVE-2021-30752: Ye Zhang (@co0py_Cat, Baidu Security)
Kohta lisätty 21.7.2021
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
Kohta lisätty 6.5.2021
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen äänitiedoston käsittely saattoi aiheuttaa rajatun muistin paljastumisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä vuotamaan arkaluontoisia käyttäjätietoja.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-30659: Thijs Alkemade (Computest)
CoreText
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FaceTime
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Hälyttävän CallKit-puhelun mykistäminen ei välttämättä johtanut mykistyksen käyttöönottoon.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-1881: nimetön tutkija, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) ja Hou JingYi (@hjy79425575, Qihoo 360)
Foundation
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä hankkimaan laajennetut käyttöoikeudet.
Kuvaus: muistin vioittumisongelma ratkaistiin parantamalla validointia.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Varmistusongelma on ratkaistu parantamalla logiikkaa.
CVE-2021-1813: Cees Elzinga
Heimdal
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisten palvelinviestien käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston
Kuvaus: kilpailutilanne on ratkaistu parantamalla lukitusta.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-1880: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1814: Ye Zhang (Baidu Security), Mickey Jin ja Qi Sun (Trend Micro) ja Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Rajojen ulkopuolisen muistin kirjoitusongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
Kuvaus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
CVE-2021-30743: Ye Zhang (@co0py_Cat, Baidu Security), Trend Micron Zero Day Initiativen parissa työskentelevä Jzhu, Xingwei Lin (Ant Security Light-Year Lab), CFF (Topsec Alpha Team), Trend Micron Zero Day Initiativen parissa työskentelevä Jeonghoon Shin (@singi21a, THEORI)
Kohta lisätty 21.7.2021
ImageIO
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Ongelma on ratkaistu parantamalla tarkistuksia.
Kuvaus: Haitallisen tiedoston käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
CVE-2021-30764: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön henkilö
Kohta lisätty 21.7.2021
iTunes Store
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: JavaScriptiä käyttänyt hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-1860: @0xalsr
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: puskurin ylivuoto on korjattu parantamalla rajojen tarkistusta.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1851: @0xalsr
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Kopioiduilla tiedostoilla ei välttämättä ollut odotettuja tiedostojen käyttöoikeuksia.
Kuvaus: Ongelma on ratkaistu parantamalla käyttöoikeuslogiikkaa.
CVE-2021-1832: nimetön tutkija
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä paljastamaan kernel-muistin sisältöä
Kuvaus: rajojen ulkopuolisen muistin lukeminen on ratkaistu parantamalla rajojen tarkistusta.
CVE-2021-30660: Alex Plaskett
libxpc
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan pääkäyttöoikeudet.
Kuvaus: Kilpailutilanne on ratkaistu lisätarkistuksilla.
CVE-2021-30652: James Hutchins
libxslt
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen tiedoston käsitteleminen saattoi johtaa keon vioittumiseen.
Kuvaus: Double free -ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-1875: ongelman havaitsi OSS-Fuzz
MobileInstallation
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Preferences
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä muokkaamaan tiedostojärjestelmän suojattuja osia.
Kuvaus: Hakemistopolkujen käsittelyn jäsennysongelma korjattiin parantamalla polkujen tarkistusta.
CVE-2021-1815: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) ja Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Safari
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen käyttäjä saattoi pystyä kirjoittamaan mielivaltaisia tiedostoja.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-1868: Tim Michaud (Zoom Communications)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa sivustojenväliseen komentosarjahyökkäykseen.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla annettujen tietojen tarkistusta.
CVE-2021-1825: Alex Camboe (Cyber Solutions, Aon)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: muistin vioittumisongelma on ratkaistu parantamalla tilanhallintaa.
CVE-2021-1817: zhunki
Kohta päivitetty 6.5.2021
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-1826: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa prosessimuistin paljastumiseen
Kuvaus: muistinalustusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-1820: André Bargull
Kohta päivitetty 6.5.2021
WebKit Storage
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu hyödyntää aktiivisesti.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30661: yangkang (@dnpushme, 360 ATA)
WebRTC
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
Kuvaus: Etähyökkääjä saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai vioittamaan kernel-muistia.
CVE-2020-7463: Megan2013678
Kohta lisätty 21.7.2021
Wi-Fi
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
Kuvaus: Puskurin ylivuoto saattoi johtaa mielivaltaisen koodin suorittamiseen.
CVE-2021-1770: Jiska Classen (@naehrdine, Secure Mobile Networking Lab, TU Darmstadt)
Kohta lisätty 21.7.2021
Kiitokset
AirDrop
Haluamme kiittää käyttäjää @maxzks hänen avustaan.
CoreAudio
Haluamme kiittää avusta nimetöntä tutkijaa.
CoreCrypto
Haluamme kiittää Orange Groupin Andy Russonia hänen avustaan.
File Bookmark
Haluamme kiittää avusta nimetöntä tutkijaa.
Foundation
Haluamme kiittää CodeColoristia (Ant-Financial LightYear Labs) hänen avustaan.
Kernel
Haluamme kiittää Antonio Frighettoa (Politecnico di Milano), GRIMMiä, Keyu Mania, Zhiyun Qiania, Zhongjie Wangia, Xiaofeng Zhengiä, Youjun Huangia, Haixin Duania, Mikko Kenttälää (@Turmio_, SensorFu), Proteasia ja Tielei Wangia (Pangu Lab) heidän avustaan.
Security
Haluamme kiittää Xingwei Liniä (Ant Security Light-Year Lab) ja johnia (@nyan_satan) heidän avustaan.
sysdiagnose
Haluamme kiittää Tim Michaudia (@TimGMichaud, Leviathan) hänen avustaan.
WebKit
Haluamme kiittää Emilio Cobos Álvarezia (Mozilla) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.