Obsah zabezpečenia v systéme watchOS 7.4
V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 7.4.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 7.4
Dátum vydania: 26. apríla 2021
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Apka so škodlivým kódom môže byť schopná obísť nastavenia ochrany súkromia
Popis: Dochádzalo k problému s overovaním podpisu kódu, ktorý bol vyriešený vylepšením kontrol.
CVE-2021-1849: Siguza
Audio
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1808: JunDong Xie (Ant Security Light-Year Lab)
CFNetwork
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odhaleniu citlivých používateľských informácií
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1857: Anonymný výskumník
Compression
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-30752: Ye Zhang (@co0py_Cat) (Baidu Security)
Dátum pridania záznamu: 21. júla 2021
CoreAudio
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30664: JunDong Xie (Ant Security Light-Year Lab)
Dátum pridania záznamu: 6. mája 2021
CoreAudio
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1846: JunDong Xie (Ant Security Light-Year Lab)
CoreAudio
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1809: JunDong Xie (Ant Security Light-Year Lab)
CoreFoundation
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Aplikácia so škodlivým kódom byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-30659: Thijs Alkemade (Computest)
CoreText
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie písma so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1811: Xingwei Lin (Ant Security Light-Year Lab)
FaceTime
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Stíšenie hovoru cez CallKit počas zvonenia nemusí viesť k zapnutiu stíšenia
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1872: Siraj Zaneer (Facebook)
FontParser
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1881: Anonymný výskumník, Xingwei Lin (Ant Security Light-Year Lab), Mickey Jin (Trend Micro) a Hou JingYi (@hjy79425575) (Qihoo 360)
Foundation
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2021-1813: Cees Elzinga
Heimdal
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie serverových správ so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-1880: Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-30653: Ye Zhang (Baidu Security)
CVE-2021-1814: Ye Zhang (Baidu Security), Mickey Jin a Qi Sun (Trend Micro) a Xingwei Lin (Ant Security Light-Year Lab)
CVE-2021-1843: Ye Zhang (Baidu Security)
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1885: CFF (Topsec Alpha Team)
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1858: Mickey Jin (Trend Micro)
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-30743: Ye Zhang (@co0py_Cat) z tímu Baidu Security, Jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Xingwei Lin z tímu Ant Security Light-Year Lab, CFF z tímu Topsec Alpha Team, Jeonghoon Shin (@singi21a) z tímu THEORI v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 21. júla 2021
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Tento problém bol vyriešený vylepšením kontrol
Popis: Spracovanie súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-30764: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 21. júla 2021
iTunes Store
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Útočník s možnosťou spustenia JavaScriptu môže byť schopný spustiť ľubovoľný kód
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-1864: CodeColorist z tímu Ant-Financial LightYear Labs
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1860: @0xalsr
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-1816: Tielei Wang z tímu Pangu Lab
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1851: @0xalsr
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Kopírované súbory nemusia mať očakávané povolenia súboru
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2021-1832: Anonymný výskumník
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Aplikácia so škodlivým kódom môže byť schopná odhaliť obsah pamäte jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30660: Alex Plaskett
libxpc
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Škodlivá aplikácia môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2021-30652: James Hutchins
libxslt
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie súboru so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1875: Nájdené službou OSS-Fuzz
MobileInstallation
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1822: Bruno Virlet z tímu The Grizzly Labs
Preferences
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s analýzou pri spracovávaní ciest adresárov, ktorý bol vyriešený vylepšením overovania ciest.
CVE-2021-1815: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) a Yuebin Sun (@yuebinsun2020) (Tencent Security Xuanwu Lab, xlab.tencent.com)
Safari
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Lokálny používateľ môže byť schopný zapisovať ľubovoľné súbory
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1868: Tim Michaud (Zoom Communications)
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-1825: Alex Camboe (Aon’s Cyber Solutions)
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Opis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-1817: zhunki
Dátum aktualizovania záznamu: 6. mája 2021
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-1826: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2021-1820: André Bargull
Dátum aktualizovania záznamu: 6. mája 2021
WebKit Storage
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu. Spoločnosť Apple vie o hlásení o tom, že tento problém mohol byť aktívne zneužitý.
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-30661: yangkang (@dnpushme) (360 ATA)
WebRTC
Dostupné pre: Apple Watch Series 3 a novšie
Dopad: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte
Popis: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra.
CVE-2020-7463: Megan2013678
Dátum pridania záznamu: 21. júla 2021
Wi-Fi
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu
Popis: Pretečenie buffera môže viesť k spusteniu ľubovoľného kódu.
CVE-2021-1770: Jiska Classen (@naehrdine) (Secure Mobile Networking Lab, TU Darmstadt)
Dátum pridania záznamu: 21. júla 2021
Ďalšie poďakovanie
AirDrop
Poďakovanie za pomoc si zaslúži @maxzks.
CoreAudio
Poďakovanie za pomoc si zaslúži anonymný výskumník.
CoreCrypto
Poďakovanie za pomoc si zaslúži Andy Russon zo spoločnosti Orange Group.
File Bookmark
Poďakovanie za pomoc si zaslúži anonymný výskumník.
Foundation
Poďakovanie za pomoc si zaslúži CodeColorist z tímu Ant-Financial LightYear Labs.
Kernel
Poďakovanie za pomoc si zaslúžia Antonio Frighetto z Polytechnickej univerzity v Miláne, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) zo spoločnosti SensorFu, Proteas a Tielei Wang z tímu Pangu Lab.
Security
Poďakovanie za pomoc si zaslúžia Xingwei Lin z tímu Ant Security Light-Year Lab a john (@nyan_satan).
sysdiagnose
Poďakovanie za pomoc si zaslúži Tim Michaud (@TimGMichaud) zo spoločnosti Leviathan.
WebKit
Poďakovanie za pomoc si zaslúži Emilio Cobos Álvarez zo spoločnosti Mozilla.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.