Despre conținutul de securitate din watchOS 7.0

Acest document descrie conținutul de securitate din watchOS 7.0.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

watchOS 7.0

Data publicării: 16 septembrie 2020

Audio

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9943: JunDong Xie de la Ant Group Light-Year Security Lab

Intrare adăugată pe 12 noiembrie 2020

Audio

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9944: JunDong Xie de la Ant Group Light-Year Security Lab

Intrare adăugată pe 12 noiembrie 2020

CoreAudio

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9960: JunDong Xie și Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 16 martie 2021

CoreAudio

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: redarea unui fișier audio cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2020-9954: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)

Intrare adăugată pe 12 noiembrie 2020

CoreCapture

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9949: Proteas

Intrare adăugată pe 12 noiembrie 2020

CoreText

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier text creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-9999: Apple

Intrare adăugată pe 15 decembrie 2020

Disk Images

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9965: Proteas

CVE-2020-9966: Proteas

Intrare adăugată pe 12 noiembrie 2020

FontParser

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație rău intenționată poate citi memorie restricționată

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-29629: un cercetător anonim

Adăugare intrare: 19 ianuarie 2022

FontParser

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9956: Mickey Jin și Junzhi Lu (Trend Micro Mobile Security Research Team), în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 16 martie 2021

FontParser

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)

Intrare adăugată pe 16 martie 2021

FontParser

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a existat o problemă de alterare a memoriei la procesarea fișierelor de fonturi. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-27931: Apple

Intrare adăugată pe 16 martie 2021

FontParser

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-29639: Mickey Jin și Qi Sun (Trend Micro) în colaborare cu Zero Day Initiative (Trend Micro)

Intrare adăugată pe 21 iulie 2021

HomeKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator cu poziție privilegiată în rețea poate modifica în mod neașteptat starea aplicației

Descriere: această problemă a fost rezolvată prin îmbunătățirea propagării configurării.

CVE-2020-9978: Luyi Xing, Dongfang Zhao și Xiaofeng Wang (Indiana University Bloomington), Yan Jia (Xidian University și University of Chinese Academy of Sciences) și Bin Yuan (HuaZhong University of Science and Technology)

Intrare adăugată pe 16 martie 2021

ImageIO

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier .tiff creat cu rea intenție ar putea provoca un refuz al serviciului sau ar putea dezvălui conținutul memoriei

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-36521: Xingwei Lin (Ant-Financial Light-Year Security Lab)

Intrare adăugată pe 25 mai 2022

ImageIO

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 12 noiembrie 2020

ImageIO

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: deschiderea unui fișier PDF creat cu rea intenție poate duce la închiderea neașteptată a aplicației sau la executarea unui cod aleatoriu

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9876: Mickey Jin (Trend Micro)

Intrare adăugată pe 12 noiembrie 2020

ImageIO

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)

Intrare adăugată pe 15 decembrie 2020

Kernel

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea corupe memoria kernel

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2020-9967: Alex Plaskett (@alexjplaskett)

Intrare adăugată pe 16 martie 2021

Kernel

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9975: Tielei Wang (Pangu Lab)

Intrare adăugată pe 16 martie 2021

Keyboard

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație rău intenționată poate scurge informații sensibile ale utilizatorilor

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH), Hamburg, Germania

libxml2

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate duce la executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9981: problemă găsită de OSS-Fuzz

Intrare adăugată pe 12 noiembrie 2020

libxpc

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.

CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencent Security Xuanwu Lab)

Intrare adăugată pe 15 decembrie 2020

Mail

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator aflat la distanță poate modifica în mod neașteptat starea aplicației

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-9941: Fabian Ising (FH Münster University of Applied Sciences) și Damian Poddebniak (FH Münster University of Applied Sciences)

Intrare adăugată pe 12 noiembrie 2020

Messages

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un utilizator local poate descoperi mesaje șterse ale unui utilizator

Descriere: problema a fost rezolvată prin îmbunătățirea ștergerii.

CVE-2020-9989: von Brunn Media

Intrare adăugată pe 12 noiembrie 2020

Phone

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: este posibil ca blocarea ecranului să nu se activeze după perioada de timp specificată

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-9946: Daniel Larsson (iolight AB)

Safari

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: accesarea unui site web rău intenționat poate cauza falsificarea barei de adrese

Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.

CVE-2020-9993: Masato Sugiyama (@smasato) (University of Tsukuba), Piotr Duszynski

Intrare adăugată pe 12 noiembrie 2020

Sandbox

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: este posibil ca un utilizator local să vadă informații sensibile despre utilizator

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2020-9969: Wojciech Reguła de la SecuRing (wojciechregula.blog)

Intrare adăugată pe 12 noiembrie 2020

Sandbox

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: este posibil ca o aplicație rău-intenționată să poată accesa fișierele restricționate

Descriere: o problemă de logică a fost rezolvată prin îmbunătățirea restricțiilor.

CVE-2020-9968: Adam Chester(@_xpn_) (TrustedSec)

Intrare actualizată pe 17 septembrie 2020

SQLite

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator la distanță poate provoca un refuz al serviciului

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-13434

CVE-2020-13435

CVE-2020-9991

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: probleme multiple în SQLite

Descriere: au fost rezolvate mai multe probleme prin actualizarea SQLite la versiunea 3.32.3.

CVE-2020-15358

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o problemă de divulgare a informațiilor, prin îmbunătățirea gestionării stării.

CVE-2020-9849

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: o interogare SQL creată cu rea intenție poate cauza coruperea datelor

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2020-13631

Intrare adăugată pe 12 noiembrie 2020

SQLite

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2020-13630

Intrare adăugată pe 12 noiembrie 2020

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2020-9947: cc în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-9950: cc în colaborare cu Zero Day Initiative (Trend Micro)

CVE-2020-9951: Marcin 'Icewall' Noga (Cisco Talos)

Intrare adăugată pe 12 noiembrie 2020

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod

Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2020-9983: zhunki

Intrare adăugată pe 12 noiembrie 2020

WebKit

Disponibilitate: Apple Watch Series 3 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza un atac cu scripting între site-uri

Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2020-9952: Ryan Pickren (ryanpickren.com)

Alte mențiuni

Audio

Dorim să le mulțumim lui JunDong Xie și lui Xingwei Lin (Ant-Financial Light-Year Security Lab) pentru asistența acordată.

Intrare adăugată pe 16 martie 2021

Audio

Dorim să le mulțumim lui JunDong Xie și lui XingWei Lin (Ant-Financial Light-Year Security Lab) pentru asistența acordată.

Intrare adăugată pe 12 noiembrie 2020

Bluetooth

Dorim să îi mulțumim lui Andy Davis (NCC Group) pentru asistența acordată.

Clang

Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.

Intrare adăugată pe 12 noiembrie 2020

Core Location

Dorim să îi mulțumim lui Yiğit Can YILMAZ (@yilmazcanyigit) pentru asistență.

Crash Reporter

Dorim să îi mulțumim pentru asistență lui Artur Byszko (AFINE).

Intrare adăugată pe 15 decembrie 2020

iAP

Dorim să îi mulțumim lui Andy Davis (NCC Group) pentru asistența acordată.

Intrare adăugată pe 12 noiembrie 2020

Kernel

Dorim să îi mulțumim pentru asistență lui Brandon Azad de la Google Project Zero și lui Stephen Röttger de la Google pentru asistență.

Intrare actualizată pe 12 noiembrie 2020

libxml2

Dorim să îi mulțumim unui cercetător anonim pentru asistență.

Intrare adăugată pe 16 martie 2021

Location Framework

Dorim să îi mulțumim lui Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) pentru asistență.

Intrare actualizată pe 19 octombrie 2020

Mail Drafts

Dorim să îi mulțumim pentru asistență lui Jon Bottarini (HackerOne).

Intrare adăugată pe 12 noiembrie 2020

Safari

Dorim să le mulțumim următorilor pentru asistența acordată: Andreas Gutmann (@KryptoAndI) (OneSpan's Innovation Centre (onespan.com)) și University College London, Steven J. Murdoch (@SJMurdoch) (OneSpan's Innovation Centre (onespan.com)) și University College London, Jack Cable (Lightning Security), Ryan Pickren (ryanpickren.com) și Yair Amit.

Intrare adăugată pe 19 octombrie 2020, actualizată pe 12 noiembrie 2020

WebKit

Dorim să le mulțumim lui Pawel Wylecial (REDTEAM.PL) și lui Ryan Pickren (ryanpickren.com) pentru asistența acordată.

Intrare adăugată pe 12 noiembrie 2020

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: