Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 7.6
Objavljeno 19. srpnja 2021.
ActionKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: prečac bi mogao zaobići preduvjete za internetska dopuštenja
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)
Analytics
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni napadač mogao bi pristupiti analitičkim podacima
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Unos je dodan 25. listopada 2021., a ažuriran 25. svibnja 2022.
App Store
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: problem s dozvolama riješen je poboljšanom provjerom valjanosti.
CVE-2021-31006: Csaba Fitzl (@theevilbit) (Offensive Security)
Unos je dodan 25. svibnja 2022.
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni napadač mogao bi uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30781: tr3e
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30775: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: reprodukcija zlonamjerne audiodatoteke mogla je izazvati neočekivano zatvaranje aplikacije
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30776: JunDong Xie (Ant Security Light-Year Lab)
CoreText
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30789: Mickey Jin (@patch1t) (Trend Micro), Sunglin (tim Knownsec 404)
Crash Reporter
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30774: Yizhuo Wang (Group of Software Security In Progress (G.O.S.S.I.P) sa šangajskog sveučilišta Jiao Tong)
CVMS
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka zlonamjerna aplikacija mogla bi steći korijenske ovlasti
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2021-30780: Tim Michaud (@TimGMichaud) (Zoom Video Communications)
dyld
Dostupno za: Apple Watch Series 3 i novije
Učinak: proces u memoriji za testiranje mogao bi zaobići ograničenja memorije za testiranje
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: prekoračenje cijelog broja riješeno je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2021-30760: Sunglin (tim Knownsec 404)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne tiff datoteke moglo je doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30788: tr3e i inicijativa Zero Day (Trend Micro)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta može doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2021-30759: hjy79425575 u suradnji s projektom Zero Day Initiative (Trend Micro)
Identity Service
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi zaobići provjere potpisivanja koda
Opis: problem s provjerom valjanosti potpisa koda riješen je poboljšanim provjerama.
CVE-2021-30773: Linus Henze (pinauten.de)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) (Baidu Security)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2021-30785: Mickey Jin (@patch1t) (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je ažuriran 19. siječnja 2022.
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerni napadač s mogućnošću proizvoljnog čitanja i pisanja mogao bi zaobići autorizaciju pokazivača
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadač koji je već postigao izvršavanje proizvoljnog koda u kernelu mogao bi zaobići zakrpe kernelske memorije.
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-3518
Networking
Dostupno za: Apple Watch Series 3 i novije
Učinak: otvaranjem zlonamjerne web-stranice moglo je doći do odbijanje usluge
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Unos je dodan 25. listopada 2021.
TCC
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi zaobići određene postavke privatnosti
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30798: Mickey Jin (@patch1t) (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Unos je ažuriran 19. siječnja 2022.
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem sa zamjenom vrste riješen je poboljšanim upravljanjem stanjem.
CVE-2021-30758: Christoph Guttandin (Media Codings)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2021-30795: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2021-30797: Ivan Fratric (Google Project Zero)
Dodatna zahvala
CoreText
Željeli bismo zahvaliti Mickeyu Jinu (@patch1t) (Trend Micro) na pomoći.
Safari
Na pomoći zahvaljujemo anonimnom istraživaču.
Sandbox
Na pomoći zahvaljujemo Csabi Fitzlu (@theevilbit) (Offensive Security).
sysdiagnose
Željeli bismo zahvaliti Carteru Jonesu (linkedin.com/in/carterjones/) i Timu Michaudu (@TimGMichaud) (Zoom Video Communications) na pomoći.
Unos je dodan 25. svibnja 2022.