Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 7.1
Publicare: 5 noiembrie 2020
Audio
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27910: JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
Audio
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27916: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-10017: Francis în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui fișier audio creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27908: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
CVE-2020-27909: un cercetător anonim în colaborare cu Zero Day Initiative (Trend Micro), JunDong Xie și XingWei Lin (Ant Security Light-Year Lab)
Actualizare intrare: 16 martie 2021
CoreText
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-27922: Mickey Jin (Trend Micro)
Adăugare intrare: 16 martie 2021
Crash Reporter
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: a existat o problemă în logica de validare a căilor pentru linkuri simbolice. Această problemă a fost rezolvată printr-o îmbunătățire a corectării căilor.
CVE-2020-10003: Tim Michaud (@TimGMichaud) (Leviathan)
FontParser
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: Procesarea unui font creat cu rea intenție poate duce la executarea unui cod arbitrar. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2020-27930: Google Project Zero
FontParser
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de scriere în afara limitelor prin îmbunătățirea verificării limitelor.
CVE-2020-27927: Xingwei Lin (Ant Security Light-Year Lab)
Foundation
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: un utilizator local ar putea să citească fișiere arbitrare
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-10002: James Hutchins
ImageIO
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27924: Lei Sun
Adăugare intrare: 16 martie 2021
ImageIO
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o scriere în afara limitelor prin îmbunătățirea validării intrării.
CVE-2020-27912: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2020-27923: Lei Sun
Actualizare intrare: 16 martie 2021
IOAcceleratorFamily
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: o aplicație rău intenționată poate dezvălui conținutul memoriei nucleului. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.
Descriere: a fost rezolvată o problemă de inițializare a memoriei.
CVE-2020-27950: Google Project Zero
Kernel
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2020-10016: Alex Helie
Kernel
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel. Apple este la curent cu rapoartele potrivit cărora există o exploatare a acestei probleme, însă locațiile nu sunt cunoscute.
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării stării.
CVE-2020-27932: Google Project Zero
libxml2
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27917: problemă găsită de OSS-Fuzz
CVE-2020-27920: problemă găsită de OSS-Fuzz
Actualizare intrare: 16 martie 2021
libxml2
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o depășire de întreg prin îmbunătățirea validării intrării.
CVE-2020-27911: problemă găsită de OSS-Fuzz
Înregistrarea în jurnal
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de tratare a căilor a fost rezolvată prin îmbunătățirea validării.
CVE-2020-10010: Tommy Muir (@Muirey03)
Symptom Framework
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: un atacator local poate fi capabil să-și ridice nivelul privilegiilor
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27899: 08Tc3wBB în colaborare cu ZecOps
Intrare adăugată pe 15 decembrie 2020
WebKit
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2020-27918: Liu Long (Ant Security Light-Year Lab)
Actualizare intrare: 16 martie 2021
XNU
Disponibilitate: Apple Watch Series 3 și modelele ulterioare
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: mai multe probleme au fost rezolvate prin îmbunătățirea logicii.
CVE-2020-27935: Lior Halphon (@LIJI32)
Intrare adăugată pe 15 decembrie 2020