Om sikkerhetsinnholdet i watchOS 7.6
I dette dokumentet beskrives sikkerhetsinnholdet i watchOS 7.6.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter med CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 7.6
Utgitt 19. juli 2021
ActionKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En snarvei kan være i stand til å forbigå krav om internett-tillatelse
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)
Analytics
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan få tilgang til analysedata
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30871: Denis Tokarev (@illusionofcha0s)
Oppføring lagt til 25. oktober 2021, oppdatert 25. mai 2022
App Store
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Et problem med tillatelser ble løst gjennom forbedret validering.
CVE-2021-31006: Csaba Fitzl (@theevilbit) fra Offensive Security
Oppføring lagt til 25. mai 2022
Audio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan forårsake uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-30781: tr3e
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30775: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30776: JunDong Xie fra Ant Security Light-Year Lab
CoreText
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30789: Mickey Jin (@patch1t) fra Trend Micro og Sunglin fra Knownsec 404-teamet
Crash Reporter
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30774: Yizhuo Wang fra Group of Software Security In Progress (G.O.S.S.I.P) ved Shanghai Jiao Tong University
CVMS
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30780: Tim Michaud (@TimGMichaud) fra Zoom Video Communications
dyld
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30768: Linus Henze (pinauten.de)
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2021-30760: Sunglin fra Knownsec 404-teamet
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig TIFF-fil kan føre til tjenestenekt eller avsløring av minneinnhold
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-30788: tr3e i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.
CVE-2021-30759: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
Identity Service
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å omgå kodesigneringskontroller
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2021-30773: Linus Henze (pinauten.de)
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) fra Baidu Security
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30785: Mickey Jin (@patch1t) fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Oppføring oppdatert 19. januar 2022
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ondsinnet angriper med muligheter for vilkårlig lesing og skriving kan klare å forbigå pekergodkjenningen
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30769: Linus Henze (pinauten.de)
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En angriper som allerede har oppnådd kjernekodekjøring, kan være i stand til å forbigå skadebegrensende tiltak for kjerneminnet
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30770: Linus Henze (pinauten.de)
libxml2
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan være i stand til å starte utilsiktet kodekjøring
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-3518
Networking
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Besøk på et skadelig nettsted kan forårsake tjenestenekt (DoS) på systemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1821: Georgi Valkov (httpstorm.com)
Oppføring lagt til 25. oktober 2021
TCC
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å omgå visse personverninnstillinger
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30798: Mickey Jin (@patch1t) fra Trend Micro i samarbeid med Trend Micro Zero Day Initiative
Oppføring oppdatert 19. januar 2022
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30758: Christoph Guttandin fra Media Codings
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30795: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-30797: Ivan Fratric fra Google Project Zero
Ytterligere anerkjennelser
CoreText
Vi vil gjerne takke Mickey Jin (@patch1t) fra Trend Micro for hjelpen.
Power Management
Vi vil gjerne takke Pan ZhenPeng (@Peterpan0927) fra Alibaba Security Pandora Lab, Csaba Fitzl (@theevilbit) og Lisandro Ubiedo (@_lubiedo) fra Stratosphere Lab for hjelpen.
Oppføring lagt til 6. juni 2023
Safari
Vi vil gjerne takke en anonym forsker for hjelpen.
Sandbox
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
sysdiagnose
Vi vil gjerne takke Carter Jones (linkedin.com/in/carterjones/) og Tim Michaud (@TimGMichaud) hos Zoom Video Communications, Csaba Fitzl (@theevilbit) hos Offensive Security, Pan ZhenPeng(@Peterpan0927) hos Alibaba Security Pandora Lab og Wojciech Reguła (@_r3ggi) hos SecuRing for hjelpen.
Oppføring lagt til 25. mai 2022, oppdatert 16. juli 2024
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.