Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 7.5
Utgitt 24. mai 2021
Audio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30707: hjy79425575 i samarbeid med Trend Micro Zero Day Initiative
Audio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan føre til at brukerinformasjon avsløres
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30685: Mickey Jin (@patch1t) i Trend Micro
Core Services
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan bli i stand til å få rotrettigheter
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig lydfil kan avdekke begrenset minne
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30686: Mickey Jin i Trend Micro
CoreText
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av en skadelig font kan føre til at prosessminne avsløres.
CVE-2021-30753: Xingwei Lin fra Ant Security Light-Year Lab
CVE-2021-30733: Sunglin fra Knownsec 404
Oppføring lagt til 21. juli 2021
Crash Reporter
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan endre beskyttede deler av filsystemet
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30727: Cees Elzinga
CVMS
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal angriper kan være i stand til å utvide rettighetene sine
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30724: Mickey Jin (@patch1t) i Trend Micro
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2021-30771: Mickey Jin (@patch1t) fra Trend Micro og CFF fra Topsec Alpha Team
Oppføring lagt til 19. januar 2022
FontParser
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata
Beskrivelse: Behandling av en skadelig font kan føre til at prosessminne avsløres.
CVE-2021-30755: Xingwei Lin fra Ant Security Light-Year Lab
Oppføring lagt til 21. juli 2021
Heimdal
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: En lokal bruker kan lekke sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan forårsake tjenestenekt eller potensielt avsløre minneinnhold
Beskrivelse: Et problem med skadet minnet ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.
CVE-2021-30687: Hou JingYi (@hjy79425575) i Qihoo 360
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30700: Ye Zhang (@co0py_Cat) i Baidu Security
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av et skadelig bilde kan føre til kjøring av vilkårlig kode
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30701: Mickey Jin (@patch1t) i Trend Micro og Ye Zhang i Baidu Security
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandlingen av en skadelig ASTC-fil kan avsløre minneinnhold
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2021-30705: Ye Zhang i Baidu Security
ImageIO
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Problemet ble løst gjennom bedre kontroller
Beskrivelse: Behandlingen av et skadelig bilde kan føre til at brukerinformasjon avsløres.
CVE-2021-30706: en anonym i samarbeid med Trend Micro Zero Day Initiative, Jzhu i samarbeid med Trend Micro Zero Day Initiative
Oppføring lagt til 21. juli 2021
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret validering.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30704: en anonym forsker
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av en skadelig melding kan føre til tjenestenekt
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30715: National Cyber Security Centre (NCSC) i Storbritannia
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2021-30736: Ian Beer fra Google Project Zero
Kernel
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et problem med dobbel frigjøring ble løst gjennom forbedret minnestyring
Beskrivelse: Et program kan være i stand til å utføre vilkårlig kode med kjernerettigheter.
CVE-2021-30703: En anonym forsker
Oppføring lagt til 21. juli 2021
LaunchServices
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje bryte ut av sandkassen sin
Beskrivelse: Problemet ble løst gjennom forbedret miljørensing.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandlingen av et skadelig sertifikat kan føre til kjøring av vilkårlig kode
Beskrivelse: Et problem med sikkerhetsbrudd i minnet i ASN.1-dekoderen ble løst ved å fjerne den sårbare koden.
CVE-2021-30737: xerub
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et opprinnelsesproblem med iframe-elementer ble løst med forbedret sporing av sikkerhetsopprinnelse.
CVE-2021-30744: Dan Hite i jsontop
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2021-21779: Marcin Towalski i Cisco Talos
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig program kan kanskje lekke sensitiv brukerinformasjon
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30682: en anonym forsker og 1lastBr3ath
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2021-30689: en anonym forsker
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2021-30749: en anonym forsker og mipu94 fra SEFCOM-laboratoriet ved Arizona State University i samarbeid med Trend Micro Zero Day Initiative
CVE-2021-30734: Jack Dates i RET2 Systems, Inc. (@ret2systems) i samarbeid med Trend Micro Zero Day Initiative
WebKit
Tilgjengelig for: Apple Watch Series 3 og nyere
Virkning: Et skadelig nettsted kan få tilgang til adgangsbegrensede porter på vilkårlige servere
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2021-30720: David Schütz (@xdavidhu)
Ytterligere anerkjennelser
CommCenter
Vi vil gjerne takke CHRISTIAN MINA for hjelpen.
ImageIO
Vi vil gjerne takke Jzhu i samarbeid med Trend Micro Zero Day Initiative og en anonym forsker for hjelpen.
Mail Drafts
Vi vil gjerne takke Lauritz Holtmann (@_lauritz_) for hjelpen.
WebKit
Vi vil gjerne takke Chris Salls (@salls) i Makai Security for hjelpen.