Despre conținutul de securitate din watchOS 8.1

Acest document descrie conținutul de securitate din watchOS 8.1.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

watchOS 8.1

Lansare: 25 octombrie 2021

Audio

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de alterare a memoriei la procesarea profilurilor ICC. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2021-30917: Alexandru-Vlad Niculae și Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator local poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă privind șirul de formatare necontrolat prin îmbunătățirea validării intrării.

CVE-2021-30903: Gongyu Ma de la Hangzhou Dianzi University

Intrare adăugată pe 25 mai 2022

CoreAudio

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate divulga informații ale utilizatorului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2021-30905: Mickey Jin (@patch1t) (Trend Micro)

CoreGraphics

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui PDF creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.

CVE-2021-30919

FileProvider

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: este posibil ca o aplicație rău intenționată să poată ocoli preferințele de confidențialitate

Descriere: a fost rezolvată o problemă de permisiune prin îmbunătățirea validării.

CVE-2021-31007: Csaba Fitzl (@theevilbit) (Offensive Security)

Intrare adăugată pe 31 martie 2022 și actualizată pe 25 mai 2022

FileProvider

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea tratării memoriei.

CVE-2021-30881: Simon Huang (@HuangShaomang) și pjf (IceSword Lab – Qihoo 360)

Game Center

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: este posibil ca o aplicație rău intenționată să acceseze informații despre contactele unui utilizator

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Intrare actualizată pe 25 mai 2022

Game Center

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: este posibil ca o aplicație rău intenționată să citească date despre jocurile unui utilizator

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Intrare actualizată pe 25 mai 2022

iCloud

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2021-30906: Cees Elzinga

IOMobileFrameBuffer

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel. Apple are cunoștință de un raport conform căruia această problemă ar fi putut fi exploatată în mod activ.

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-30883: un cercetător anonim

Kernel

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator de la distanță poate determina repornirea neașteptată a unui dispozitiv

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea tratării stării.

CVE-2021-30924: Elaman Iskakov (@darling_x0r) (Effective) și Alexey Katkov (@watman27)

Intrare adăugată pe 19 ianuarie 2022

Kernel

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2021-30886: @0xalsr

Kernel

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2021-30909: Zweig (Kunlun Lab)

UIKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o persoană cu acces fizic la un dispozitiv poate determina caracteristicile parolei unui utilizator într-un câmp de introducere de text securizat

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2021-31008: un cercetător anonim

Intrare adăugată pe 31 martie 2022 și actualizată pe 25 mai 2022

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza neaplicarea accidentală a politicii CSP (Content Security Policy)

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati) (Suma Soft Pvt. Ltd.)

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un site web rău-intenționat care folosește rapoarte CSP (Content Security Policy – Politica privind securitatea conținutului) ar putea dezvălui informații printr-un comportament de redirecționare

Descriere: a fost remediată o problemă referitoare la scurgerea de informații.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd) și Tsinghua wingtecher lab

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2021-30890: un cercetător anonim

Alte mențiuni

iCloud

Dorim să-i mulțumim lui Ryan Pickren (ryanpickren.com) pentru asistență.

Mail

Dorim să le mulțumim pentru asistență lui Fabian Ising și lui Damian Poddebniak (Münster University of Applied Sciences).

WebKit

Dorim să le mulțumim pentru asistență lui Ivan Fratric (Google Project Zero), lui Pavel Gromadchuk și unui cercetător anonim.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: