Over de beveiligingsinhoud van watchOS 7.3

In dit document wordt de beveiligingsinhoud van watchOS 7.3 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 7.3

Releasedatum: 26 januari 2021

Analytische gegevens

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1761: Cees Elzinga

Toegevoegd op 1 februari 2021

APFS

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een lokale gebruiker kan willekeurige bestanden lezen

Beschrijving: het probleem is verholpen door een verbeterde logica voor bevoegdheden.

CVE-2021-1797: Thomas Tempelmann

Toegevoegd op 1 februari 2021

CoreAnimation

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een kwaadaardig programma kan willekeurige code uitvoeren waardoor gebruikersgegevens in gevaar kunnen worden gebracht

Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.

CVE-2021-1760:@S0rryMybad van het 360 Vulcan Team

Toegevoegd op 1 februari 2021

CoreAudio

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1747: JunDong Xie van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021

CoreGraphics

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1776: Ivan Fratric van Google Project Zero

Toegevoegd op 1 februari 2021

CoreText

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.

CVE-2021-1772: Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

CoreText

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1792: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

Crashrapportage

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een lokale gebruiker kan systeembestanden aanmaken of wijzigen

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1786: Csaba Fitzl (@theevilbit) van Offensive Security

Toegevoegd op 1 februari 2021

Crashrapportage

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2021-1787: James Hutchins

Toegevoegd op 1 februari 2021

FairPlay

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een kwaadwillig vervaardigd programma kan kernelgeheugen vrijgeven

Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2021-1791: Junzhi Lu (@pwn0rz), Qi Sun en Mickey Jin van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

FontParser

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1758: Peter Nguyen van STAR Labs

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1818: Xingwei Lin van Ant-Financial Light-Year Security Lab

Toegevoegd op 16 maart 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1773: Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1766: Danny Rosseau van Carve Systems

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1785: Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2021-1744: Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2021-1818: Xingwei Lin van Ant-Financial Light-Year Security Lab

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: dit probleem is verholpen door middel van verbeterde controles.

CVE-2021-1742: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1746: Jeonghoon Shin(@singi21a) van THEORI, Mickey Jin en Qi Sun van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin van Ant Security Light-Year Lab

CVE-2021-1754: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1774: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1777: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1793: Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1741: Xingwei Lin van het Ant Security Light-Year Lab

CVE-2021-1743: Mickey Jin en Junzhi Lu van Trend Micro in samenwerking met het Zero Day Initiative van Trend Micro, Xingwei Lin of het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: er was een probleem met lezen buiten het bereik in de curl. Dit probleem is verholpen door een verbeterde controle van de grenzen.

CVE-2021-1778: Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021

ImageIO

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een toegangsprobleem is verholpen door verbeterd geheugenbeheer.

CVE-2021-1783: Xingwei Lin van het Ant Security Light-Year Lab

Toegevoegd op 1 februari 2021

IOSkywalkFamily

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een lokale aanvaller kan zijn bevoegdheden mogelijk verhogen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.

CVE-2021-1757: Proteas en Pan ZhenPeng (@Peterpan0927) van Alibaba Security

Toegevoegd op 1 februari 2021

iTunes Store

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van een kwaadwillig vervaardigde URL kan leiden tot het uitvoeren van willekeurige JavaScript-code

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2021-1748: CodeColorist in samenwerking met Ant Security Light-Year Labs

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een externe aanvaller kan mogelijk zorgen voor een denial of service

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1764: @m00nbsd

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: meerdere problemen zijn verholpen door verbeterde logica.

CVE-2021-1750: @0xalsr

Toegevoegd op 1 februari 2021

Kernel

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een kwaadaardig programma kan de bevoegdheden verhogen. Apple is op de hoogte van een melding dat er mogelijk actief misbruik is gemaakt van dit probleem.

Beschrijving: een 'race condition' is verholpen door verbeterde vergrendeling.

CVE-2021-1782: een anonieme onderzoeker

Swift

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2021-1769: CodeColorist van de Ant-Financial Light-Year Labs

Toegevoegd op 1 februari 2021

WebKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2021-1788: Francisco Alonso (@revskills)

Toegevoegd op 1 februari 2021, bijgewerkt op 16 maart 2021

WebKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.

CVE-2021-1789:@S0rryMybad van het 360 Vulcan Team

Toegevoegd op 1 februari 2021

WebKit

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: kwaadwillig vervaardigde webinhoud kan het iframe sandbox-beleid schenden

Beschrijving: dit probleem is verholpen door verbeterde uitvoering van iframe sandbox.

CVE-2021-1801: Eliya Stein van Confiant

Toegevoegd op 1 februari 2021

WebRTC

Beschikbaar voor: Apple Watch Series 3 en nieuwer

Impact: een schadelijke website kan toegang hebben tot beperkte poorten op arbitraire servers

Beschrijving: een probleem met de poortomleiding is opgelost door middel van extra poortvalidatie.

CVE-2021-1799: Gregory Vishnepolsky en Ben Seri van Armis Security, en Samy Kamkar

Toegevoegd op 1 februari 2021

Aanvullende erkenning

iTunes Store

Met dank aan CodeColorist van de Ant-Financial Light-Year Labs voor de hulp.

Toegevoegd op 1 februari 2021

Kernel

Met dank aan Junzhi Lu (@pwn0rz), Mickey Jin en Jesse Change van Trend Micro voor de hulp.

Toegevoegd op 1 februari 2021

libpthread

Met dank aan CodeColorist van de Ant-Financial Light-Year Labs voor de hulp.

Toegevoegd op 1 februari 2021

Store Demo

Met dank aan@08Tc3wBB voor de hulp.

Toegevoegd op 1 februari 2021

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: