Om sikkerhetsinnholdet i watchOS 7.0

I dette dokumentet beskrives sikkerhetsinnholdet i watchOS 7.0.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

watchOS 7.0

Utgitt 16. september 2020

Audio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et skadelig program kan være i stand til å lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9943: JunDong Xie fra Ant Group Light-Year Security Lab

Oppføring lagt til 12. november 2020

Audio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9944: JunDong Xie fra Ant Group Light-Year Security Lab

Oppføring lagt til 12. november 2020

CoreAudio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9960: JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

CoreAudio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Avspilling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2020-9954: Francis i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie fra Ant Group Light-Year Security Lab

Oppføring lagt til 12. november 2020

CoreCapture

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9949: Proteas

Oppføring lagt til 12. november 2020

CoreText

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig tekstfil kan føre til at vilkårlig kode utføres

Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9999: Apple

Oppføring lagt til 15. desember 2020

Disk Images

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Oppføring lagt til 12. november 2020

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et skadelig program kan være i stand til å lese begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29629: en anonym forsker

Oppføring lagt til 19. januar 2022

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9956: Mickey Jin og Junzhi Lu fra Trend Micro Mobile Security Research Team i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 16. mars 2021

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Oppføring lagt til 16. mars 2021

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2020-27931: Apple

Oppføring lagt til 16. mars 2021

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29639: Mickey Jin og Qi Sun i Trend Micro i samarbeid med Trend Micros Zero Day Initiative

Oppføring lagt til 21. juli 2021

HomeKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En angriper med nettverksrettigheter kan være i stand til å modifisere programtilstanden på en uventet måte

Beskrivelse: Problemet ble løst gjennom forbedret innstillingspropagering.

CVE-2020-9978: Luyi Xing, Dongfang Zhao og Xiaofeng Wang ved Indiana University Bloomington, Yan Jia ved Xidian University og University of Chinese Academy of Sciences, Bin Yuan ved HuaZhong University of Science and Technology

Oppføring lagt til 16. mars 2021

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig TIFF-fil kan føre til tjenestenekt eller avsløring av minneinnhold

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-36521: Xingwei Lin fra Ant-Financial Light-Year Security Lab

Oppføring lagt til 25. mai 2022

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9961: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 12. november 2020

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9876: Mickey Jin fra Trend Micro

Oppføring lagt til 12. november 2020

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9955: Mickey Jin fra Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 15. desember 2020

Kernel

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Oppføring lagt til 16. mars 2021

Kernel

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9975: Tielei Wang fra Pangu Lab

Oppføring lagt til 16. mars 2021

Keyboard

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9976: Rias A. Sherzad fra JAIDE GmbH i Hamburg, Tyskland

libxml2

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9981: funnet av OSS-Fuzz

Oppføring lagt til 12. november 2020

libxpc

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et skadelig program kan være i stand til å utvide rettigheter

Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.

CVE-2020-9971: Zhipeng Huo (@R3dF09) fra Tencent Security Xuanwu Lab

Oppføring lagt til 15. desember 2020

Mail

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern angriper kan uventet få tilgang til å endre programtilstand

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-9941: Fabian Ising ved Fachhochschule Münster og Damian Poddebniak ved Fachhochschule Münster

Oppføring lagt til 12. november 2020

Messages

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En lokal bruker kan være i stand til å finne en brukers slettede meldinger

Beskrivelse: Problemet ble løst gjennom forbedret sletting.

CVE-2020-9989: von Brunn Media

Oppføring lagt til 12. november 2020

Phone

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Skjermlåsen aktiveres kanskje ikke etter angitt tidsperiode

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-9946: Daniel Larsson fra iolight AB

Safari

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer

Problemet ble løst gjennom forbedret håndtering av grensesnittet.

CVE-2020-9993: Masato Sugiyama (@smasato) ved University of Tsukuba, Piotr Duszynski

Oppføring lagt til 12. november 2020

Sandbox

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En lokal bruker kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.

CVE-2020-9969: Wojciech Reguła fra SecuRing (wojciechregula.blog)

Oppføring lagt til 12. november 2020

Sandbox

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Et skadelig program kan få tilgang til begrensede filer

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-9968: Adam Chester (@_xpn_) fra TrustedSec

Oppføring oppdatert 17. september 2020

SQLite

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern angriper kan forårsake tjenestenekt

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Oppføring lagt til 12. november 2020

SQLite

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Flere problemer i SQLite

Beskrivelse: Flere problemer ble løst ved å oppdatere til SQLite versjon 3.32.3.

CVE-2020-15358

Oppføring lagt til 12. november 2020

SQLite

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-9849

Oppføring lagt til 12. november 2020

SQLite

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En skadelig SQL-spørring kan føre til korrupsjon av data

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-13631

Oppføring lagt til 12. november 2020

SQLite

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-13630

Oppføring lagt til 12. november 2020

WebKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9947: cc i samarbeid med Trend Micro Zero Day Initiative

CVE-2020-9950: cc i samarbeid med Trend Micro Zero Day Initiative

CVE-2020-9951: Marcin «Icewall» Noga fra Cisco Talos

Oppføring lagt til 12. november 2020

WebKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9983: zhunki

Oppføring lagt til 12. november 2020

WebKit

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Ytterligere anerkjennelser

Audio

Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant-Financial Light-Year Security Lab for hjelpen.

Oppføring lagt til 16. mars 2021

Audio

Vi vil gjerne takke JunDong Xie og XingWei Lin fra Ant-Financial Light-Year Security Lab for hjelpen.

Oppføring lagt til 12. november 2020

Bluetooth

Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.

Clang

Vi vil gjerne takke Brandon Azad fra Google Project Zero for hjelpen.

Oppføring lagt til 12. november 2020

Core Location

Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.

Crash Reporter

Vi vil gjerne takke Artur Byszko fra AFINE for hjelpen.

Oppføring lagt til 15. desember 2020

iAP

Vi vil gjerne takke Andy Davis fra NCC Group for hjelpen.

Oppføring lagt til 12. november 2020

Kernel

Vi vil gjerne takke Brandon Azad fra Google Project Zero og Stephen Röttger fra Google for hjelpen.

Oppføring oppdatert 12. november 2020

libxml2

Vi vil gjerne takke en anonym forsker for hjelpen.

Oppføring lagt til 16. mars 2021

Location Framework

Vi vil gjerne takke Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) for hjelpen.

Oppføring oppdatert 19. oktober 2020

Mail Drafts

Vi vil gjerne takke til Jon Bottarini fra HackerOne for hjelpen.

Oppføring lagt til 12. november 2020

Safari

Vi vil gjerne takke Andreas Gutmann (@KryptoAndI) ved OneSpans Innovation Centre (onespan.com) og University College London, Steven J. Murdoch (@SJMurdoch) ved OneSpans Innovation Centre (onespan.com) og University College London, Jack Cable fra Lightning Security, Ryan Pickren (ryanpickren.com) og Yair Amit for hjelpen.

Oppføring lagt til 19. oktober 2020 og oppdatert 12. november 2020

WebKit

Vi vil gjerne takke Pawel Wylecial fra REDTEAM.PL og Ryan Pickren (ryanpickren.com) for hjelpen.

Oppføring lagt til 12. november 2020

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: