Over de beveiligingsinhoud van watchOS 7.4
In dit document wordt de beveiligingsinhoud van watchOS 7.4 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 7.4
Releasedatum: 26 april 2021
AppleMobileFileIntegrity
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan mogelijk privacyvoorkeuren omzeilen
Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.
CVE-2021-1849: Siguza
Audio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2021-1808: JunDong Xie van het Ant Security Light-Year Lab
CFNetwork
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan gevoelige gebruikersgegevens openbaar maken
Beschrijving: een probleem met geheugeninitialisatie is verholpen door verbeterde geheugenverwerking.
CVE-2021-1857: een anonieme onderzoeker
Compression
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een probleem met het lezen buiten het bereik is verholpen door verbeterde invoervalidatie
Beschrijving: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code.
CVE-2021-30752: Ye Zhang (@co0py_Cat) van Baidu Security
Toegevoegd op 21 juli 2021
CoreAudio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-30664: JunDong Xie van het Ant Security Light-Year Lab
Toegevoegd op 6 mei 2021
CoreAudio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan beperkt geheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-1846: JunDong Xie van het Ant Security Light-Year Lab
CoreAudio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan beperkt geheugen lezen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2021-1809: JunDong Xie van het Ant Security Light-Year Lab
CoreFoundation
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan vertrouwelijke gebruikersinformatie vrijgeven
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2021-30659: Thijs Alkemade van Computest
CoreText
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-1811: Xingwei Lin van het Ant Security Light-Year Lab
FaceTime
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het dempen van een CallKit-oproep terwijl die overgaat leidt mogelijk niet tot het inschakelen van de dempfunctie
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-1872: Siraj Zaneer van Facebook
FontParser
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-1881: een anonieme onderzoeker, Xingwei Lin van het Ant Security Light-Year Lab, Mickey Jin van Trend Micro en Hou JingYi (@hjy79425575) van Qihoo 360
Foundation
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2021-1813: Cees Elzinga
Heimdal
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde serverberichten kan leiden tot heapbeschadiging
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service
Beschrijving: een racevoorwaarde is verholpen door verbeterde vergrendeling.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-1880: Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang van Baidu Security
CVE-2021-1814: Ye Zhang van Baidu Security, Mickey Jin en Qi Sun van Trend Micro en Xingwei Lin van het Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang van Baidu Security
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1885: CFF van Topsec Alpha Team
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-1858: Mickey Jin van Trend Micro
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie
Beschrijving: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code.
CVE-2021-30743: Ye Zhang (@co0py_Cat) van Baidu Security, Jzhu in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin van het Ant Security Light-Year Lab, CFF van het Topsec Alpha Team, Jeonghoon Shin (@singi21a) van THEORI in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 21 juli 2021
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: dit probleem is verholpen door middel van verbeterde controles
Beschrijving: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het uitvoeren van willekeurige code.
CVE-2021-30764: anoniem in samenwerking met het Zero Day Initiative van Trend Micro
Toegevoegd op 21 juli 2021
iTunes Store
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een aanvaller die JavaScript uitvoert, kan mogelijk willekeurige code uitvoeren
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2021-1864: CodeColorist van Ant-Financial Light-Year Labs
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven
Beschrijving: een probleem met geheugeninitialisatie is verholpen door verbeterde geheugenverwerking.
CVE-2021-1860: @0xalsr
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2021-1816: Tielei Wang van Pangu Lab
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-1851: @0xalsr
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: gekopieerde bestanden hebben mogelijk niet de verwachte bestandsbevoegdheden
Beschrijving: het probleem is verholpen door verbeterde logica voor bevoegdheden.
CVE-2021-1832: een anonieme onderzoeker
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-30660: Alex Plaskett
libxpc
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een racevoorwaarde is verholpen met aanvullende validatie.
CVE-2021-30652: James Hutchins
libxslt
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot heapbeschadiging
Beschrijving: een double-free-probleem is verholpen door verbeterd geheugenbeheer.
CVE-2021-1875: gevonden door OSS-Fuzz
MobileInstallation
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2021-1822: Bruno Virlet van The Grizzly Labs
Preferences
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een lokale gebruiker kan beveiligde onderdelen van het bestandssysteem wijzigen
Beschrijving: een probleem met het parseren bij de verwerking van directorypaden is verholpen door een verbeterde padvalidatie.
CVE-2021-1815: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) en Yuebin Sun (@yuebinsun2020) van het Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een lokale gebruiker kan mogelijk willekeurige bestanden schrijven
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-1868: Tim Michaud van Zoom Communications
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot een cross-site scripting-aanval
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2021-1825: Alex Camboe van Aon's Cyber Solutions
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2021-1817: zhunki
Bijgewerkt op 6 mei 2021
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2021-1826: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door verbeterde geheugenverwerking.
CVE-2021-1820: André Bargull
Bijgewerkt op 6 mei 2021
WebKit Storage
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2021-30661: yangkang (@dnpushme) van 360 ATA
WebRTC
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen
Beschrijving: een externe aanvaller kan het onverwacht beëindigen van het systeem veroorzaken of het kernelgeheugen beschadigen.
CVE-2020-7463: Megan2013678
Toegevoegd op 21 juli 2021
Wi-Fi
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een logicaprobleem is verholpen door een verbeterd statusbeheer
Beschrijving: een bufferoverloop kan leiden tot het uitvoeren van willekeurige code.
CVE-2021-1770: Jiska Classen (@naehrdine) van het Secure Mobile Networking Lab van de TU Darmstadt
Toegevoegd op 21 juli 2021
Aanvullende erkenning
AirDrop
Met dank aan @maxzks voor de hulp.
CoreAudio
Met dank aan een anonieme onderzoeker voor de hulp.
CoreCrypto
Met dank aan Andy Russon van de Orange Group voor de hulp.
File Bookmark
Met dank aan een anonieme onderzoeker voor de hulp.
Foundation
Met dank aan CodeColorist van Ant-Financial LightYear Labs voor de hulp.
Kernel
Met dank aan Antonio Frighetto van Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) van SensorFu, Proteas en Tielei Wang van Pangu Lab voor hun hulp.
Security
Met dank aan Xingwei Lin van het Ant Security Light-Year Lab en john (@nyan_satan) voor de hulp.
sysdiagnose
Met dank aan Tim Michaud (@TimGMichaud) van Leviathan voor de hulp.
WebKit
Met dank aan Emilio Cobos Álvarez van Mozilla voor de hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.