Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 7.1
Utgitt 5. november 2020
Lyd
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27910: JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab
Lyd
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27916: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-10017: Francis i samarbeid med Trend Micro Zero Day Initiative og JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27908: anonym i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab
CVE-2020-27909: anonym i samarbeid med Trend Micro Zero Day Initiative, JunDong Xie og XingWei Lin fra Ant Security Light-Year Lab
Oppføring oppdatert 16. mars 2021
CoreText
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27922: Mickey Jin fra Trend Micro
Oppføring lagt til 16. mars 2021
Crash Reporter
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Det var et problem i banevalideringslogikken for symlinks. Problemet ble løst gjennom forbedret banerensing.
CVE-2020-10003: Tim Michaud (@TimGMichaud) fra Leviathan
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig font kan føre til utføring av vilkårlig kode. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret validering av inndata.
CVE-2020-27930: Google Project Zero
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-27927: Xingwei Lin fra Ant Security Light-Year Lab
Foundation
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan være i stand til å lese vilkårlige filer
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10002: James Hutchins
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27924: Lei Sun
Oppføring lagt til 16. mars 2021
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2020-27912: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
Oppføring oppdatert 16. mars 2021
IOAcceleratorFamily
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kjerne
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å oppgi kjerneminne. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.
Beskrivelse: Et problem med initialisering av minne ble løst.
CVE-2020-27950: Google Project Zero
Kjerne
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kjerne
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-10016: Alex Helie
Kjerne
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter. Apple er klar over rapporter om at det finnes en måte å utnytte dette på.
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-27932: Google Project Zero
libxml2
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-27917: funnet av OSS-Fuzz
CVE-2020-27920: funnet av OSS-Fuzz
Oppføring oppdatert 16. mars 2021
libxml2
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2020-27911: funnet av OSS-Fuzz
Loggføring
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med banehåndtering ble løst gjennom forbedret validering.
CVE-2020-10010: Tommy Muir (@Muirey03)
Symptomrammeverk
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-27899: 08Tc3wBB i samarbeid med ZecOps
Oppføring lagt til 15. desember 2020
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-27918: Liu Long fra Ant Security Light-Year Lab
Oppføring oppdatert 16. mars 2021
XNU
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Flere problemer ble løst gjennom forbedret logikk.
CVE-2020-27935: Lior Halphon (@LIJI32)
Oppføring lagt til 15. desember 2020