Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 7.4
Objavljeno 26. travnja 2021.
AppleMobileFileIntegrity
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi zaobići postavke privatnosti
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2021-1849: Siguza
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do otkrivanja osjetljivih korisničkih podataka
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1857: anonimni istraživač
Compression
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjerne slike može doći do proizvoljnog izvršavanja koda.
CVE-2021-30752: Ye Zhang(@co0py_Cat) (Baidu Security)
Unos dodan 21. srpnja 2021.
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
Unos dodan 6. svibnja 2021.
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernih audiodatoteka može doći do otkrivanja ograničene memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-30659: Thijs Alkemade (Computest)
CoreText
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FaceTime
Dostupno za: Apple Watch Series 3 i novije
Učinak: isključenjem zvuka CallKit poziva tijekom zvonjave možda neće doći do omogućavanja opcije isključivanja zvuka
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1881: anonimni istraživač, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) i Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi aplikacija mogla dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.
CVE-2021-1813: Cees Elzinga
Heimdal
Dostupno za: Apple Watch Series 3 i novije
Učinak: obrada zlonamjernih poruka poslužitelja može dovesti do oštećenja skupa
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: stanje nadmetanja riješeno je poboljšanim zaključavanjem.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-1880: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1814: Ye Zhang (Baidu Security), Mickey Jin i Qi Sun (Trend Micro) te Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike može doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka
Opis: obradom zlonamjerne slike može doći do proizvoljnog izvršavanja koda.
CVE-2021-30743: Ye Zhang (@co0py_Cat) (Baidu Security), Jzhu u suradnji s projektom Zero Day Initiative (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab), CFF (Topsec Alpha Team), Jeonghoon Shin (@singi21a) (THEORI) u suradnji s projektom Zero Day Initiative (Trend Micro)
Unos dodan 21. srpnja 2021.
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: taj je problem riješen poboljšanim provjerama
Opis: obradom zlonamjerne slike može doći do proizvoljnog izvršavanja koda.
CVE-2021-30764: anonimni istraživač u suradnji s projektom Zero Day Initiative (Trend Micro)
Unos dodan 21. srpnja 2021.
iTunes Store
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadač koji koristi JavaScript mogao bi pokrenuti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1864: CodeColorist (Ant-Financial LightYear Labs)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1860: @0xalsr
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi izvršiti proizvoljni kod uz kernelske ovlasti
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-1816: Tielei Wang (Pangu Lab)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi aplikacija mogla izvršiti proizvoljni kod uz kernelske ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1851: @0xalsr
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: može se dogoditi da kopirane datoteke nemaju očekivane datotečne dozvole
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2021-1832: anonimni istraživač
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti kernelsku memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2021-30652: James Hutchins
libxslt
Dostupno za: Apple Watch Series 3 i novije
Učinak: obrada zlonamjernih datoteka može dovesti do oštećenja skupa
Opis: problem dvostrukog oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1875: otkrio OSS-Fuzz
MobileInstallation
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1822: Bruno Virlet (The Grizzly Labs)
Preferences
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem raščlanjivanja prilikom rukovanja putovima direktorija riješen je poboljšanom provjerom valjanosti puta.
CVE-2021-1815: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1739: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
CVE-2021-1740: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) (Tencentov laboratorij za sigurnost Xuanwu (xlab.tencent.com))
Safari
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi zapisivati proizvoljne datoteke
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni napadač mogao bi povećati svoje ovlasti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1868: Tim Michaud (Zoom Communications)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1817: zhunki
Unos ažuriran 6. svibnja 2021.
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-1826: anonimni istraživač
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2021-1820: André Bargull
Unos ažuriran 6. svibnja 2021.
WebKit Storage
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda. Apple zna za izvješće o potencijalnom aktivnom iskorištavanju ovog problema.
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30661: yangkang (@dnpushme) (360 ATA)
WebRTC
Dostupno za: Apple Watch Series 3 i novije
Učinak: problem s korištenjem memorije nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom
Opis: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju.
CVE-2020-7463: Megan2013678
Unos dodan 21. srpnja 2021.
Wi-Fi
Dostupno za: Apple Watch Series 3 i novije
Učinak: logički problem riješen je poboljšanim upravljanjem stanjem
Opis: prekoračenje međuspremnika može rezultirati proizvoljnim izvršavanjem koda.
CVE-2021-1770: Jiska Classen (@naehrdine) iz laboratorija Secure Mobile Networking Lab, TU Darmstadt
Unos dodan 21. srpnja 2021.
Dodatna zahvala
AirDrop
Na pomoći zahvaljujemo istraživaču @maxzks.
CoreAudio
Na pomoći zahvaljujemo anonimnom istraživaču.
CoreCrypto
Na pomoći zahvaljujemo Andyju Russonu (Orange Group).
File Bookmark
Na pomoći zahvaljujemo anonimnom istraživaču.
Foundation
Na pomoći zahvaljujemo CodeColoristu (Ant-Financial LightYear Labs).
Kernel
Na pomoći zahvaljujemo Antoniju Frighettu (Politecnico di Milano), GRIMM-u, Keyuju Manu, Zhiyunu Qianu, Zhongjieu Wangu, Xiaofengu Zhengu, Youjunu Huangu, Haixinu Duanu, Mikku Kenttäläu (@Turmio_) (SensorFu), Proteasu i Tieleiju Wangu (Pangu Lab).
Security
Na pomoći zahvaljujemo Xingweiju Linu (Ant Security Light-Year Lab) i Johnu (@nyan_satan).
sysdiagnose
Na pomoći zahvaljujemo Timu Michaudu (@TimGMichaud) (Leviathan).
WebKit
Na pomoći zahvaljujemo Emiliju Cobosu Álvarezu (Mozilla).