Om sikkerhetsinnholdet i watchOS 7.0
I dette dokumentet beskrives sikkerhetsinnholdet i watchOS 7.0.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 7.0
Audio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab
Audio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9960: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Avspilling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2020-9954: Francis i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie fra Ant Group Light-Year Security Lab
CoreCapture
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9949: Proteas
CoreText
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9999: Apple
Disk Images
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-29629: en anonym forsker
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9956: Mickey Jin og Junzhi Lu fra Trend Micro Mobile Security Research Team i samarbeid med Trend Micro Zero Day Initiative
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2020-27931: Apple
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-29639: Mickey Jin og Qi Sun i Trend Micro i samarbeid med Trend Micros Zero Day Initiative
HomeKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En angriper med nettverksrettigheter kan være i stand til å modifisere programtilstanden på en uventet måte
Beskrivelse: Problemet ble løst gjennom forbedret innstillingspropagering.
CVE-2020-9978: Luyi Xing, Dongfang Zhao og Xiaofeng Wang ved Indiana University Bloomington, Yan Jia ved Xidian University og University of Chinese Academy of Sciences, Bin Yuan ved HuaZhong University of Science and Technology
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig TIFF-fil kan føre til tjenestenekt eller avsløring av minneinnhold
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-36521: Xingwei Lin fra Ant-Financial Light-Year Security Lab
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-9961: Xingwei Lin fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9876: Mickey Jin fra Trend Micro
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9955: Mickey Jin fra Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9975: Tielei Wang fra Pangu Lab
Keyboard
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9976: Rias A. Sherzad fra JAIDE GmbH i Hamburg, Tyskland
libxml2
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9981: funnet av OSS-Fuzz
libxpc
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2020-9971: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan uventet få tilgang til å endre programtilstand
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-9941: Fabian Ising ved Fachhochschule Münster og Damian Poddebniak ved Fachhochschule Münster
Messages
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan være i stand til å finne en brukers slettede meldinger
Beskrivelse: Problemet ble løst gjennom forbedret sletting.
CVE-2020-9989: von Brunn Media
Phone
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-9946: Daniel Larsson fra iolight AB
Safari
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Problemet ble løst gjennom forbedret håndtering av grensesnittet.
CVE-2020-9993: Masato Sugiyama (@smasato) ved University of Tsukuba, Piotr Duszynski
Sandbox
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan være i stand til å se sensitiv brukerinformasjon
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)
Sandbox
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan få tilgang til begrensede filer
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-9968: Adam Chester (@_xpn_) fra TrustedSec
SQLite
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Flere problemer i SQLite
Beskrivelse: Flere problemer ble løst ved å oppdatere til SQLite versjon 3.32.3.
CVE-2020-15358
SQLite
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan lekke minne
Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.
CVE-2020-9849
SQLite
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En skadelig SQL-spørring kan føre til korrupsjon av data
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-13631
SQLite
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-13630
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9947: cc i samarbeid med Trend Micro Zero Day Initiative
CVE-2020-9950: cc i samarbeid med Trend Micro Zero Day Initiative
CVE-2020-9951: Marcin «Icewall» Noga fra Cisco Talos
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-9983: zhunki
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2020-9952: Ryan Pickren (ryanpickren.com)
Ytterligere anerkjennelser
Audio
Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant-Financial Light-Year Security Lab for hjelpen.
Audio
Vi vil gjerne takke JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab for hjelpen.
Bluetooth
Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.
Clang
Vi vil gjerne takke Brandon Azad fra Google Project Zero for hjelpen.
Core Location
Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.
Crash Reporter
Vi vil gjerne takke Artur Byszko fra AFINE for hjelpen.
iAP
Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.
Kernel
Vi vil gjerne takke Brandon Azad fra Google Project Zero og Stephen Röttger fra Google for hjelpen.
libxml2
Vi vil gjerne takke en anonym forsker for hjelpen.
Location Framework
Vi vil gjerne takke Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) for hjelpen.
Mail Drafts
Vi vil gjerne takke til Jon Bottarini fra HackerOne for hjelpen.
Safari
Vi vil gjerne takke Andreas Gutmann (@KryptoAndI) ved OneSpans Innovation Centre (onespan.com) og University College London, Steven J. Murdoch (@SJMurdoch) ved OneSpans Innovation Centre (onespan.com) og University College London, Jack Cable fra Lightning Security, Ryan Pickren (ryanpickren.com) og Yair Amit for hjelpen.
WebKit
Vi vil gjerne takke Pawel Wylecial fra REDTEAM.PL og Ryan Pickren (ryanpickren.com) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.