Informacije o sigurnosnom sadržaju sustava watchOS 7.4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 7.4.
Informacije o Appleovim sigurnosnim ažuriranjima
Radi zaštite korisnika, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 7.4
Objavljeno 26. travnja 2021.
AppleMobileFileIntegrity
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2021-1849: Siguza
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1857: anonimni istraživač
Compression
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda.
CVE-2021-30752: Ye Zhang (@co0py_Cat) (Baidu Security)
Unos je dodan 21. srpnja 2021.
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
Unos je dodan 6. svibnja 2021.
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne audiodatoteke moglo bi doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30659: Thijs Alkemade (Computest)
CoreText
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FaceTime
Dostupno za: Apple Watch Series 3 i novije
Učinak: isključenjem zvuka CallKit poziva tijekom zvonjave možda neće doći do omogućavanja opcije isključivanja zvuka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1881: anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) i Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-1813: Cees Elzinga
Heimdal
Dostupno za: Apple Watch Series 3 i novije
Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1880: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1814: Ye Zhang (Baidu Security), Mickey Jin i Qi Sun (Trend Micro) te Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda.
CVE-2021-30743: Ye Zhang (@co0py_Cat) (Baidu Security), Jzhu u suradnji s projektom Zero Day Initiative (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab), CFF (Topsec Alpha Team), Jeonghoon Shin (@singi21a) (THEORI) u suradnji s projektom Zero Day Initiative (Trend Micro)
Unos je dodan 21. srpnja 2021.
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: taj je problem riješen poboljšanim provjerama
Opis: obradom zlonamjerne slike može doći do proizvoljnog izvršavanja koda.
CVE-2021-30764: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Unos je dodan 21. srpnja 2021.
iTunes Store
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadač koji koristi JavaScript mogao bi pokrenuti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1860: @0xalsr
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti zlonamjerne aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1851: @0xalsr
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: može se dogoditi da kopirane datoteke nemaju očekivane datotečne dozvole
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2021-1832: anonimni istraživač
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-30652: James Hutchins
libxslt
Dostupno za: Apple Watch Series 3 i novije
Učinak: obrada zlonamjerne datoteke može dovesti do oštećenja skupa
Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1875: otkrio OSS-Fuzz
MobileInstallation
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Preferences
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2021-1815: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1740: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
Safari
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi zapisivati proizvoljne datoteke
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1868: Tim Michaud (Zoom Communications)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1817: zhunki
Unos je ažuriran 6. svibnja 2021.
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1826: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1820: André Bargull
Unos je ažuriran 6. svibnja 2021.
WebKit Storage
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda. Apple je upoznat s izvješćem o potencijalnom aktivnom iskorištavanju tog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30661: yangkang (@dnpushme) (360 ATA)
WebRTC
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s korištenjem memorije nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom
Opis: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju.
CVE-2020-7463: Megan2013678
Unos je dodan 21. srpnja 2021.
Wi-Fi
Dostupno za: Apple Watch Series 3 i novije
Učinak: logički problem riješen je poboljšanim upravljanjem stanjem
Opis: prekoračenje međuspremnika može rezultirati izvršavanjem proizvoljnog koda.
CVE-2021-1770: Jiska Classen (@naehrdine) iz laboratorija Secure Mobile Networking Lab, TU Darmstadt
Unos je dodan 21. srpnja 2021.
Dodatna zahvala
AirDrop
Željeli bismo zahvaliti istraživaču @maxzks na pomoći.
CoreAudio
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreCrypto
Željeli bismo zahvaliti Andyju Russonu (Orange Group) na pomoći.
File Bookmark
Na pomoći zahvaljujemo anonimnom istraživaču.
Foundation
Željeli bismo zahvaliti CodeColoristu (Ant-Financial LightYear Labs) na pomoći.
Kernel
Na pomoći zahvaljujemo Antoniju Frighettu (Politecnico di Milano), GRIMM-u, Keyuju Manu, Zhiyunu Qianu, Zhongjieu Wangu, Xiaofengu Zhengu, Youjunu Huangu, Haixinu Duanu, Mikku Kenttäläu (@Turmio_) (SensorFu), Proteasu i Tieleiju Wangu (Pangu Lab).
Security
Željeli bismo zahvaliti Xingweiju Linu (Ant Security Light-Year Lab) i Johnu (@nyan_satan) na pomoći.
sysdiagnose
Željeli bismo zahvaliti Timu Michaudu (@TimGMichaud) (Leviathan) na pomoći.
WebKit
Željeli bismo zahvaliti Emiliju Cobosu Álvarezu (Mozilla) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.