Obsah zabezpečenia v systéme watchOS 7.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 7.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 7.1

Dátum vydania: 5. novembra 2020

Zvuk

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27910: JunDong Xie a XingWei Lin z tímu Ant Security Light-Year Lab

Zvuk

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27916: JunDong Xie z tímu Ant Security Light-Year Lab

CoreAudio

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-10017: Francis v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie z tímu Ant Security Light-Year Lab

CoreAudio

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27908: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a XingWei Lin z tímu Ant Security Light-Year Lab

CVE-2020-27909: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, JunDong Xie a XingWei Lin z tímu Ant Security Light-Year Lab

Dátum aktualizovania záznamu: 16. marca 2021

CoreText

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-27922: Mickey Jin zo spoločnosti Trend Micro

Dátum pridania záznamu: 16. marca 2021

Crash Reporter

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: V logike overovania ciest symbolických odkazov dochádzalo k problému. Tento problém bol vyriešený vylepšením čistenia ciest.

CVE-2020-10003: Tim Michaud (@TimGMichaud) z tímu Leviathan

FontParser

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hláseniach o tom, že tento problém možno zneužiť.

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27930: Google Project Zero

FontParser

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2020-27927: Xingwei Lin z tímu Ant Security Light-Year Lab

Foundation

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Lokálny používateľ môže byť schopný čítať ľubovoľné súbory

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-10002: James Hutchins

ImageIO

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27924: Lei Sun

Dátum pridania záznamu: 16. marca 2021

ImageIO

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27912: Xingwei Lin z tímu Ant Security Light-Year Lab

CVE-2020-27923: Lei Sun

Dátum aktualizovania záznamu: 16. marca 2021

IOAcceleratorFamily

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-27905: Mohamed Ghannam (@_simo36)

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra. Spoločnosť Apple vie o hláseniach o tom, že tento problém možno zneužiť.

Popis: Bol vyriešený problém s inicializáciou pamäte.

CVE-2020-27950: Google Project Zero

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-9974: Tommy Muir (@Muirey03)

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2020-10016: Alex Helie

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra. Spoločnosť Apple vie o hláseniach o tom, že tento problém možno zneužiť.

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania stavu.

CVE-2020-27932: Google Project Zero

libxml2

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-27917: Nájdené programom OSS-Fuzz

CVE-2020-27920: Nájdené programom OSS-Fuzz

Dátum aktualizovania záznamu: 16. marca 2021

libxml2

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2020-27911: Nájdené programom OSS-Fuzz

Protokolovanie

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.

CVE-2020-10010: Tommy Muir (@Muirey03)

Zostava symptómov

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-27899: 08Tc3wBB v spolupráci so spoločnosťou ZecOps

Dátum pridania záznamu: 15. decembra 2020

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.

CVE-2020-27918: Liu Long z tímu Ant Security Light-Year Lab

Dátum aktualizovania záznamu: 16. marca 2021

XNU

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Niekoľko problémov bolo vyriešených vylepšením logiky.

CVE-2020-27935: Lior Halphon (@LIJI32)

Dátum pridania záznamu: 15. decembra 2020

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: