Om sikkerhetsinnholdet i watchOS 7.4
I dette dokumentet beskrives sikkerhetsinnholdet i watchOS 7.4.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter med CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 7.4
Utgitt 26. april 2021
AppleMobileFileIntegrity
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan omgå personverninnstillinger
Beskrivelse: Et problem med validering av kodesignaturer ble løst gjennom bedre kontroller.
CVE-2021-1849: Siguza
Audio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1808: JunDong Xie fra Ant Security Light-Year Lab
CFNetwork
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan avsløre sensitiv brukerinformasjon
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1857: en anonym forsker
Compression
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode.
CVE-2021-30752: Ye Zhang (@co0py_Cat) fra Baidu Security
Oppføring lagt til 21. juli 2021
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30664: JunDong Xie fra Ant Security Light-Year Lab
Oppføring lagt til 6. mai 2021
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1846: JunDong Xie fra Ant Security Light-Year Lab
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan være i stand til å lese begrenset minne
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1809: JunDong Xie fra Ant Security Light-Year Lab
CoreFoundation
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-30659: Thijs Alkemade fra Computest
CoreText
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1811: Xingwei Lin fra Ant Security Light-Year Lab
FaceTime
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Hvis en CallKit-samtale dempes mens man ringer, kan det hende at dempingen ikke aktiveres
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1872: Siraj Zaneer fra Facebook
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-1881: en anonym forsker, Xingwei Lin fra Ant Security Light-Year Lab, Mickey Jin fra Trend Micro og Hou JingYi (@hjy79425575) fra Qihoo 360
Foundation
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret logikk.
CVE-2021-1813: Cees Elzinga
Heimdal
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig utformede servermeldinger kan føre til skade i heapen
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En ekstern angriper kan forårsake tjenestenekt
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2021-1880: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang fra Baidu Security
CVE-2021-1814: Ye Zhang fra Baidu Security, Mickey Jin og Qi Sun fra Trend Micro og Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang fra Baidu Security
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1885: CFF fra Topsec Alpha Team
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1858: Mickey Jin fra Trend Micro
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode.
CVE-2021-30743: Ye Zhang (@co0py_Cat) fra Baidu Security, Jzhu i samarbeid med Trend Micro Zero Day Initiative, Xingwei Lin fra Ant Security Light-Year Lab, CFF fra Topsec Alpha Team, Jeonghoon Shin (@singi21a) fra THEORI i samarbeid md Trend Micro Zero Day Initiative
Oppføring lagt til 21. juli 2021
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Problemet ble løst gjennom bedre kontroller
Beskrivelse: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode.
CVE-2021-30764: anonym i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 21. juli 2021
iTunes Store
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En angriper med JavaScript-kjøring kan være i stand til å kjøre vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-1864: CodeColorist fra Ant-Financial LightYear Labs
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1860: @0xalsr
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-1816: Tielei Wang fra Pangu Lab
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1851: @0xalsr
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Kopierte filer har kanskje ikke de forventede filtillatelsene
Beskrivelse: Problemet ble løst gjennom forbedret tillatelseslogikk.
CVE-2021-1832: en anonym forsker
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En skadelig app kan være i stand til å avdekke kjerneminnet
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30660: Alex Plaskett
libxpc
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2021-30652: James Hutchins
libxslt
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fil kan føre til skade i heapen
Beskrivelse: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring.
CVE-2021-1875: funnet av OSS-Fuzz
MobileInstallation
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1822: Bruno Virlet fra The Grizzly Labs
Preferences
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan endre beskyttede deler av filsystemet
Beskrivelse: Et tolkningsproblem i håndteringen av katalogbaner ble løst gjennom forbedret banevalidering.
CVE-2021-1815: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) og Yuebin Sun (@yuebinsun2020) fra Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan være i stand til å skrive vilkårlige filer
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1868: Tim Michaud fra Zoom Communications
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder
Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.
CVE-2021-1825: Alex Camboe fra Aon’s Cyber Solutions
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-1817: zhunki
Oppføring oppdatert 6. mai 2021
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-1826: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-1820: André Bargull
Oppføring oppdatert 6. mai 2021
WebKit Storage
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utilsiktet kodekjøring. Apple kjenner til en rapport om at dette problemet kan ha blitt utnyttet aktivt.
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-30661: yangkang (@dnpushme) fra 360 ATA
WebRTC
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring
Beskrivelse: En ekstern angriper kan forårsake uventet systemavslutning eller skadet kjerneminne.
CVE-2020-7463: Megan2013678
Oppføring lagt til 21. juli 2021
Wi-Fi
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et logisk problem ble løst gjennom forbedret tilstandshåndtering
Beskrivelse: En bufferoverflyt kan føre til kjøring av vilkårlig kode.
CVE-2021-1770: Jiska Classen (@naehrdine) fra Secure Mobile Networking Lab, TU Darmstadt
Oppføring lagt til 21. juli 2021
Ytterligere anerkjennelser
AirDrop
Vi vil gjerne takke @maxzks for hjelpen.
CoreAudio
Vi vil gjerne takke en anonym forsker for hjelpen.
CoreCrypto
Vi vil gjerne takke Andy Russon fra Orange Group for hjelpen.
File Bookmark
Vi vil gjerne takke en anonym forsker for hjelpen.
Foundation
Vi vil gjerne takke CodeColorist fra Ant-Financial LightYear Labs for hjelpen.
Kernel
Vi vil gjerne takke Antonio Frighetto fra Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) fra SensorFu, Proteas og Tielei Wang fra Pangu Lab for hjelpen.
Security
Vi vil gjerne takke Xingwei Lin fra Ant Security Light-Year Lab og john (@nyan_satan) for hjelpen.
sysdiagnose
Vi vil gjerne takke Tim Michaud (@TimGMichaud) fra Leviathan for hjelpen.
WebKit
Vi vil gjerne takke Emilio Cobos Álvarez fra Mozilla for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.