Informacije o sigurnosnom sadržaju sustava watchOS 8.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 8.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 8.1

Objavljeno 25. listopada 2021.

Audio

Dostupno za: Apple Watch Series 3 i novije

Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti

Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda

Opis: u obradi ICC profila pojavio se problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30917: Alexandru-Vlad Niculae i Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Dostupno za: Apple Watch Series 3 i novije

Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s nizom nekontroliranog formata riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30903: Gongyu Ma sa Sveučilišta Hangzhou Dianzi

Unos je dodan 25. svibnja 2022.

CoreAudio

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjerno stvorene datoteke mogli su se otkriti korisnički podaci

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)

CoreGraphics

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjerne PDF datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2021-30919

FileProvider

Dostupno za: Apple Watch Series 3 i novije

Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti

Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.

CVE-2021-31007: Csaba Fitzl (@theevilbit) (Offensive Security)

Unos je dodan 31. ožujka 2022., a ažuriran 25. svibnja 2022.

FileProvider

Dostupno za: Apple Watch Series 3 i novije

Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2021-30881: Simon Huang (@HuangShaomang) i pjf (IceSword Lab, Qihoo 360)

Game Center

Dostupno za: Apple Watch Series 3 i novije

Učinak: zlonamjerna aplikacija mogla bi pristupiti podacima o korisnikovim kontaktima

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Unos je ažuriran 25. svibnja 2022.

Game Center

Dostupno za: Apple Watch Series 3 i novije

Učinak: zlonamjerna aplikacija mogla bi čitati korisnikove podatke o igranju igre

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Unos je ažuriran 25. svibnja 2022.

iCloud

Dostupno za: Apple Watch Series 3 i novije

Učinak: lokalni napadač mogao bi povećati svoje ovlasti

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2021-30906: Cees Elzinga

IOMobileFrameBuffer

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke bi aplikacije mogle izvršiti proizvoljni kod. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30883: anonimni istraživač

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: udaljeni napadač mogao je izazvati neočekivano ponovno pokretanje uređaja

Opis: problem s odbijanjem pružanja usluge riješen je poboljšanim rukovanjem stanjem.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) (Effective) i Alexey Katkov (@watman27)

Unos je dodan 19. siječnja 2022.

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30886: @0xalsr

Kernel

Dostupno za: Apple Watch Series 3 i novije

Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30909: Zweig (Kunlun Lab)

UIKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: osobe s fizičkim pristupom uređaju mogle su otkriti karakteristike korisnikove lozinke u polju za unos sigurnog teksta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2021-31008: anonimni istraživač

Unos je dodan 31. ožujka 2022., a ažuriran 25. svibnja 2022.

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja mogao bi se potaknuti neočekivani nenametnuti pravilnik o sigurnosti sadržaja

Opis: logički problem riješen je poboljšanim ograničenjima.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) Suma Soft Pvt. Ltd.)

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: zlonamjerno web-mjesto koje koristi izvješća pravilnika o sigurnosti sadržaja moglo bi propustiti informacije putem ponašanja preusmjeravanja

Opis: riješen je problem u vezi s propuštanjem podataka.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd) i Tsinghua wingtecher lab

WebKit

Dostupno za: Apple Watch Series 3 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2021-30890: anonimni istraživač

Dodatna zahvala

iCloud

Na pomoći zahvaljujemo Ryanu Pickrenu (ryanpickren.com).

Mail

Na pomoći zahvaljujemo Fabianu Isingu i Damianu Poddebniaku (Sveučilište primijenjenih znanosti u Münsteru).

WebKit

Na pomoći zahvaljujemo Ivanu Fratricu (Google Project Zero), Pavelu Gromadchuku i anonimnom istraživaču.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: