Over de beveiligingsinhoud van watchOS 7.6
In dit document wordt de beveiligingsinhoud van watchOS 7.6 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen waar mogelijk naar kwetsbaarheden met CVE-ID.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 7.6
Releasedatum: 19 juli 2021
ActionKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een snelkoppeling kan de internettoestemmingsvereisten omzeilen
Beschrijving: een probleem met de invoervalidatie is verholpen door een verbeterde invoervalidatie.
CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)
Analytics
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een lokale aanvaller heeft mogelijk toegang tot analysegegevens
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Toegevoegd op 25 oktober 2021, bijgewerkt op 25 mei 2022
App Store
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: een bevoegdhedenprobleem is verholpen door verbeterde validatie.
CVE-2021-31006: Csaba Fitzl (@theevilbit) van Offensive Security
Toegevoegd op 25 mei 2022
Audio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een lokale aanvaller kan het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-30781: tr3e
CoreAudio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2021-30775: JunDong Xie van Ant Security Light-Year Lab
CoreAudio
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2021-30776: JunDong Xie van Ant Security Light-Year Lab
CoreText
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2021-30789: Mickey Jin (@patch1t) van Trend Micro, Sunglin van Knownsec 404 team
Crash Reporter
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2021-30774: Yizhuo Wang van Group of Software Security In Progress (G.O.S.S.I.P) van Shanghai Jiao Tong University
CVMS
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan rootbevoegdheden verkrijgen
Beschrijving: een probleem met het schrijven buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2021-30780: Tim Michaud (@TimGMichaud) van Zoom Video Communications
dyld
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met overloop van gehele getallen is verholpen door verbeterde invoervalidatie.
CVE-2021-30760: Sunglin van Knownsec 404 team
FontParser
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd tiff-bestand kan leiden tot denial-of-service of mogelijk geheugeninhoud vrijgeven
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-30788: tr3e in samenwerking met het Zero Day Initiative van Trend Micro
FontParser
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een stackoverflow is verholpen door betere invoervalidatie.
CVE-2021-30759: hjy79425575 in samenwerking met het Zero Day Initiative van Trend Micro
Identity Service
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een schadelijk programma kan de controles van codeondertekening omzeilen
Beschrijving: een probleem met de ondertekening van code is verholpen door verbeterde controles.
CVE-2021-30773: Linus Henze (pinauten.de)
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) van Baidu Security
ImageIO
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2021-30785: Mickey Jin (@patch1t) van Trend Micro in samenwerking met Trend Micro Zero Day Initiative
Bijgewerkt op 19 januari 2022
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadwillige aanvaller met willekeurige lees- en schrijfcapaciteiten kan Pointer Authentication omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een aanvaller die het uitvoeren van kernelcode al heeft bereikt, kan kernelgeheugenbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-3518
Networking
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot een denial of service van het systeem
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Toegevoegd op 25 oktober 2021
TCC
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: een kwaadaardig programma kan mogelijk bepaalde privacyvoorkeuren omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterd statusbeheer.
CVE-2021-30798: Mickey Jin (@patch1t) van Trend Micro in samenwerking met Trend Micro Zero Day Initiative
Bijgewerkt op 19 januari 2022
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde statusverwerking.
CVE-2021-30758: Christoph Guttandin van Media Codings
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2021-30795: Sergei Glazunov van Google Project Zero
WebKit
Beschikbaar voor: Apple Watch Series 3 en nieuwer
Impact: het verwerken van kwaadwillig vervaardigd webmateriaal kan leiden tot het uitvoeren van code
Beschrijving: dit probleem is verholpen door verbeterde controles.
CVE-2021-30797: Ivan Fratric van Google Project Zero
Aanvullende erkenning
CoreText
Met dank aan Mickey Jin (@patch1t) van Trend Micro voor de hulp.
Power Management
Met dank aan Pan ZhenPeng(@Peterpan0927) van Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) en Lisandro Ubiedo (@_lubiedo) van Stratosphere Lab voor de hulp.
Toegevoegd op dinsdag 6 juni 2023
Safari
Met dank aan een anonieme onderzoeker voor de hulp.
Sandbox
Met dank aan Csaba Fitzl (@theevilbit) van Offensive Security voor de hulp.
sysdiagnose
We willen Carter Jones (linkedin.com/in/carterjones/) en Tim Michaud (@TimGMichaud) van Zoom Video Communications, Csaba Fitzl (@theevilbit) van Offensive Security, Pan ZhenPeng (@Peterpan0927) van Alibaba Security Pandora Lab en Wojciech Reguła (@_r3ggi) van SecuRing bedanken voor hun hulp.
Toegevoegd op 25 mei 2022, bijgewerkt op 16 juli 2024
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.