Mengenai konten keamanan watchOS 7.6

Dokumen ini menjelaskan konten keamanan watchOS 7.6.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman Pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

watchOS 7.6

Dirilis pada 19 Juli 2021

ActionKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Pintasan mungkin dapat melewati persyaratan izin Internet

Deskripsi: Masalah validasi input telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)

Analytics

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang lokal mungkin dapat mengakses data analisis

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Entri ditambahkan pada 25 Oktober 2021, diperbarui pada 25 Mei 2022

App Store

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-31006: Csaba Fitzl (@theevilbit) dari Offensive Security

Entri ditambahkan pada 25 Mei 2022

Audio

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang lokal dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30781: tr3e

CoreAudio

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30775: JunDong Xie dari Ant Security Light-Year Lab

CoreAudio

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memutar file audio yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30776: JunDong Xie dari Ant Security Light-Year Lab

CoreText

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30789: Mickey Jin (@patch1t) dari Trend Micro, Sunglin dari tim Knownsec 404

Crash Reporter

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30774: Yizhuo Wang dari Group of Software Security In Progress (G.O.S.S.I.P) di Shanghai Jiao Tong University

CVMS

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi perusak yang berbahaya dapat memperoleh hak istimewa root

Deskripsi: Masalah penulisan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30780: Tim Michaud (@TimGMichaud) dari Zoom Video Communications

dyld

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Proses yang melewati sandbox dapat menggagalkan pembatasan sandbox

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Penjelasan: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2021-30760: Sunglin dari tim Knownsec 404

FontParser

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses file tiff perusak yang berbahaya dapat menyebabkan penolakan layanan atau berpotensi mengungkap konten memori

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30788: tr3e yang bekerja sama dengan Zero Day Initiative dari Trend Micro

FontParser

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Tumpukan kelebihan telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30759: hjy79425575 yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Identity Service

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat melewati pemeriksaan penandatanganan kode

Deskripsi: Masalah dalam validasi tanda tangan kode telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30773: Linus Henze (pinauten.de)

ImageIO

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) dari Baidu Security

ImageIO

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30785: Mickey Jin (@patch1t) dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri diperbarui pada 19 Januari 2022

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang berbahaya dengan kemampuan membaca dan menulis arbitrer mungkin dapat melewati Autentikasi Penunjuk

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang yang telah berhasil melakukan eksekusi kode kernel mungkin dapat melewati mitigasi memori

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang jarak jauh mungkin dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-3518

Networking

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Berkunjung ke halaman web yang dibuat secara berbahaya dapat mengarah ke penolakan layanan sistem.

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Entri ditambahkan pada 25 Oktober 2021

TCC

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30798: Mickey Jin (@patch1t) dari Trend Micro yang bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri diperbarui pada 19 Januari 2022

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30758: Christoph Guttandin dari Media Codings

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan manajemen memori yang ditingkatkan.

CVE-2021-30795: Sergei Glazunov dari Google Project Zero

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30797: Ivan Fratric dari Google Project Zero

Ucapan terima kasih tambahan

CoreText

Kami ingin mengucapkan terima kasih kepada Mickey Jin (@patch1t) dari Trend Micro atas bantuannya.

Power Management

Kami ingin mengucapkan terima kasih kepada Pan ZhenPeng(@Peterpan0927) dari Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit), dan Lisandro Ubiedo (@_lubiedo) dari Stratosphere Lab atas bantuannya.

Entri ditambahkan pada 6 Juni 2023

Safari

Kami ingin mengucapkan terima kasih kepada peneliti anonim atas bantuannya.

Sandbox

Kami ingin mengucapkan terima kasih kepada Csaba Fitzl (@theevilbit) dari Offensive Security atas bantuannya.

sysdiagnose

Kami ingin mengucapkan terima kasih kepada Carter Jones (linkedin.com/in/carterjones/) dan Tim Michaud (@TimGMichaud) dari Zoom Video Communications, Csaba Fitzl (@theevilbit) dari Offensive Security, Pan ZhenPeng (@Peterpan0927) dari Alibaba Security Pandora Lab, dan Wojciech Reguła (@_r3ggi) dari SecuRing atas bantuannya.

Entri ditambahkan pada 25 Mei 2022, diperbarui pada 16 Juli 2024

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: