Om sikkerhetsinnholdet i watchOS 8
I dette dokumentet beskrives sikkerhetsinnholdet i watchOS 8.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 8
Accessory Manager
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2021-30837: Siddharth Aeri (@b1n4r1b01)
AppleMobileFileIntegrity
Tilgjengelig for: Apple Watch Series 3 og nyere
Effekt: En lokal angriper kan være i stand til å lese sensitiv informasjon
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30811: en anonym forsker som samarbeider med Compartir
bootp
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En enhet kan bli sporet passivt ved bruk av MAC-adressen for Wi-Fi
Beskrivelse: Et problem med personvern ble løst gjennom fjerning av MAC-kringkastingsadressen.
CVE-2021-30866: Fabien Duchêne fra UCLouvain (Belgia)
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30834: JunDong Xie fra Ant Security Light-Year Lab
CoreGraphics
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2021-30928: Mickey Jin (@patch1t) fra Trend Micro
FaceTime
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program med mikrofontillatelser kan uventet få tilgang til mikrofoninndata under en FaceTime-samtale
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30882: Adam Bellard og Spencer Reitman fra Airtime
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30831: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig dfont-fil kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30840: Xingwei Lin fra Ant Security Light-Year Lab
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig dfont-fil kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30841: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin fra Ant Security Light-Year Lab
Foundation
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2021-30852: Yinyi Wu (@3ndy1) fra Ant Security Light-Year Lab
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2021-30814: hjy79425575
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30835: Ye Zhang fra Baidu Security
CVE-2021-30847: Mike Zhang fra Pangu Lab
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-30857: Manish Bhatt fra Red Team X @Meta, Zweig fra Kunlun Lab
libexpat
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: Problemet ble løst ved å oppdatere expat til versjon 2.4.1.
CVE-2013-0340: en anonym forsker
Preferences
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan få tilgang til begrensede filer
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.
CVE-2021-30855: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Preferences
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30854: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-30925: Csaba Fitzl (@theevilbit) fra Offensive Security
Sandbox
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30808: Csaba Fitzl (@theevilbit) i Offensive Security
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Hvis du besøker et skadelig nettsted, kan nettlesingsloggen din blir avslørt
Beskrivelse: Problemet ble løst gjennom ekstra restriksjoner på CSS-sammensetting.
CVE-2021-30884: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30818: Amar Menezes (@amarekano) fra Zon8Research
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En angriper med en nettverksplassering med rettigheter kan være i stand til å omgå HSTS
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30823: David Gullasch fra Recurity Labs
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30836: Peter Nguyen Vu Hoang fra STAR Labs
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30809: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret minnehåndtering.
CVE-2021-30846: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-30849: Sergei Glazunov fra Google Project Zero
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et sårbarhetsproblem med skadet minne ble løst gjennom forbedret låsing.
CVE-2021-30851: Samuel Groß fra Google Project Zero
Wi-Fi
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En angriper i fysisk nærhet kan tvinge en bruker over på et skadelig Wi-Fi-nettverk under konfigurasjon av en enhet
Beskrivelse: Et problem med autorisering ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30810: Peter Scott
Ytterligere anerkjennelser
bootp
Vi vil gjerne takke Alexander Burke fra alexburke.ca for hjelpen.
FaceTime
Vi vil gjerne takke Mohammed Waqqas Kakangarai for hjelpen.
Kernel
Vi vil gjerne takke Joshua Baums fra Informatik Baums for hjelpen.
Sandbox
Vi vil gjerne takke Csaba Fitzl (@theevilbit) fra Offensive Security for hjelpen.
UIKit
Vi vil gjerne takke Jason Rendel fra Diligent for hjelpen.
UIKit
Vi vil gjerne takke Jason Rendel fra Diligent for hjelpen.
WebKit
Vi vil gjerne takke Nikhil Mittal (@c0d3G33k) for hjelpen.
Wi-Fi
Vi vil gjerne takke Peter Scott for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.