Informacije o sigurnosnom sadržaju sustava watchOS 7.5
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 7.5.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 7.5
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30707: hjy79425575 u suradnji s inicijativom Zero Day (Trend Micro)
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: parsiranjem zlonamjerne audiodatoteke moglo je doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30685: Mickey Jin (@patch1t) (Trend Micro)
Core Services
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne audiodatoteke moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30686: Mickey Jin (Trend Micro)
CoreText
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta može se otkriti procesna memorija.
CVE-2021-30753: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30733: Sunglin (Knownsec 404)
Crash Reporter
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30727: Cees Elzinga
CVMS
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30724: Mickey Jin (@patch1t) (Trend Micro)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30771: Mickey Jin (@patch1t) (Trend Micro), CFF (Topsec Alpha Team)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjernog fonta može se otkriti procesna memorija.
CVE-2021-30755: Xingwei Lin (Ant Security Light-Year Lab)
Heimdal
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni je korisnik mogao otkriti povjerljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi uzrokovati uskraćivanje usluge ili otkriti sadržaj memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30687: Hou JingYi (@hjy79425575) (Qihoo 360)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30700: Ye Zhang (@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30701: Mickey Jin (@patch1t) (Trend Micro) i Ye Zhang (Baidu Security)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne ASTC datoteke može doći do otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30705: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: taj je problem riješen poboljšanim provjerama
Opis: obradom zlonamjerne slike može doći do otkrivanja korisničkih podataka.
CVE-2021-30706: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro), Jzhu u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30704: anonimni istraživač
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne poruke može se prouzročiti odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30715: britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2021-30736: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom
Opis: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti.
CVE-2021-30703: anonimni istraživač
LaunchServices
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi zlonamjerna aplikacija mogla izaći iz svoje memorije za testiranje
Opis: ovaj je problem riješen poboljšanom sanacijom okruženja.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog certifikata moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije u dekoderu ASN.1 riješen je uklanjanjem koda sa slabim točkama.
CVE-2021-30737: xerub
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: problem različitih izvora s elementima iframe riješen je poboljšanim praćenjem sigurnosnog podrijetla.
CVE-2021-30744: Dan Hite (jsontop)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-21779: Marcin Towalski (Cisco Talos)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30682: anonimni istraživač i 1lastBr3ath
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30689: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2021-30749: anonimni istraživač i korisnik mipu94 (laboratorij SEFCOM, ASU) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2021-30734: Jack Dates iz tvrtke RET2 Systems, Inc. (@ret2systems) u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna web-stranica mogla bi pristupiti ograničenim ulazima na proizvoljnim poslužiteljima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30720: David Schütz (@xdavidhu)
Dodatna zahvala
CommCenter
Željeli bismo zahvaliti CHRISTIANU MINAU na pomoći.
ImageIO
Željeli bismo zahvaliti Jzhuu koji surađuje s inicijativom Zero Day (Trend Micro) i anonimnom istraživaču na pomoći.
Mail Drafts
Željeli bismo zahvaliti Lauritzu Holtmannu (@_lauritz_) na pomoći.
WebKit
Željeli bismo zahvaliti Chrisu Sallsu (@salls) (Makai Security) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.