Om sikkerhetsinnholdet i watchOS 7.2

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 7.2.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

watchOS 7.2

Utgitt 14. desember 2020

Lyd

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29610: anonym i samarbeid med Trend Micro Zero Day Initiative

Oppføring lagt til 16. mars 2021

CoreAudio

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-27948: JunDong Xie fra Ant Security Light-Year Lab

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29608: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-27946: Mateusz Jurczyk fra Google Project Zero

FontParser

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i håndteringen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2020-27943: Mateusz Jurczyk fra Google Project Zero

CVE-2020-27944: Mateusz Jurczyk fra Google Project Zero

CVE-2020-29624: Mateusz Jurczyk fra Google Project Zero

Oppføring oppdatert 22. desember 2020

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29615: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring lagt til 16. mars 2021

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til skade i heapen

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29617: Xingwei Lin fra Ant Security Light-Year Lab

CVE-2020-29619: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 16. mars 2021

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-29618: Xingwei Lin fra Ant Security Light-Year Lab

Oppføring oppdatert 16. mars 2021

ImageIO

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-29611: Alexandru-Vlad Niculae i samarbeid med Google Project Zero

Oppføring oppdatert 17. desember 2020

Sikkerhet

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Uautorisert kjøring av kode kan føre til brudd på retningslinjer for autentisering

Beskrivelse: Problemet ble løst gjennom bedre kontroller.

CVE-2020-27951: Apple

WebRTC

Tilgjengelig for: Apple Watch Series 3 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-15969: en anonym forsker

 

Ytterligere anerkjennelser

CoreAudio

Vi vil gjerne takke JunDong Xie og Xingwei Lin fra Ant Security Light-Year Lab for hjelpen.

Oppføring lagt til 16. mars 2021

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: