Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 7.5
Dátum vydania: 24. mája 2021
Audio
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30707: hjy79425575 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Audio
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Analýza zvukového súboru so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30685: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
Core Services
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Aplikácia so škodlivým kódom môže byť schopná získať prístup k oprávneniam správcu
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2021-30681: Zhongcheng Li (CK01)
CoreAudio
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30686: Mickey Jin zo spoločnosti Trend Micro
CoreText
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Dochádzalo k problému s čítaním dát mimo buffra, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte.
CVE-2021-30753: Xingwei Lin z tímu Ant Security Light-Year Lab
CVE-2021-30733: Sunglin z tímu Knownsec 404
Dátum pridania záznamu: 21. júla 2021
Crash Reporter
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Škodlivá aplikácia môže byť schopná upravovať chránené časti súborového systému
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30727: Cees Elzinga
CVMS
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Lokálny útočník môže byť schopný zvýšiť úroveň svojich oprávnení
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30724: Mickey Jin (@patch1t) zo spoločnosti Trend Micro
FontParser
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2021-30771: Mickey Jin (@patch1t) zo spoločnosti Trend Micro, CFF z tímu Topsec Alpha Team
Dátum pridania záznamu: 19. januára 2022
FontParser
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Dochádzalo k problému s čítaním dát mimo buffra, ktorý bol vyriešený vylepšením overovania vstupu
Popis: Spracovanie škodlivého písma môže mať za následok odhalenie operačnej pamäte.
CVE-2021-30755: Xingwei Lin z tímu Ant Security Light-Year Lab
Dátum pridania záznamu: 21. júla 2021
Heimdal
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Lokálny používateľ môže byť schopný spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30697: Gabe Kirkpatrick (@gabe_k)
Heimdal
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Škodlivá aplikácia môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30710: Gabe Kirkpatrick (@gabe_k)
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2021-30687: Hou JingYi (@hjy79425575) zo spoločnosti Qihoo 360
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30700: Ye Zhang (@co0py_Cat) z tímu Baidu Security
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30701: Mickey Jin (@patch1t) zo spoločnosti Trend Micro a Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie súboru ASTC so škodlivým kódom môže sprístupniť obsah pamäte
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2021-30705: Ye Zhang z tímu Baidu Security
ImageIO
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Tento problém bol vyriešený vylepšením kontrol
Popis: Spracovanie obrázka so škodlivým kódom môže viesť k sprístupneniu informácií používateľa.
CVE-2021-30706: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro, Jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 21. júla 2021
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2021-30740: Linus Henze (pinauten.de)
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30704: Anonymný výskumník
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30715: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2021-30736: Ian Beer z tímu Google Project Zero
Kernel
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Dochádzalo k problému s dvojitým uvoľnením, ktorý bol vyriešený vylepšením spracovania pamäte
Popis: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra.
CVE-2021-30703: Anonymný výskumník
Dátum pridania záznamu: 21. júla 2021
LaunchServices
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Tento problém bol vyriešený vylepšením čistenia prostredia.
CVE-2021-30677: Ron Waisberg (@epsilan)
Security
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie certifikátu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Problém súvisiaci s poškodením pamäte v dekodéri ASN.1 bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2021-30737: xerub
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s prvkami iframe rôzneho pôvodu, ktorý bol vyriešený vylepšením sledovania pôvodu z hľadiska zabezpečenia.
CVE-2021-30744: Dan Hite z tímu jsontop
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2021-21779: Marcin Towalski zo spoločnosti Cisco Talos
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Škodlivá aplikácia môže byť schopná spôsobiť únik citlivých používateľských informácií
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30682: Anonymný výskumník a 1lastBr3ath
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2021-30689: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2021-30749: Anonymný výskumník a mipu94 z laboratória SEFCOM, ASU. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2021-30734: Jack Dates zo spoločnosti RET2 Systems, Inc. (@ret2systems) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple Watch Series 3 a novšie
Dosah: Webová stránka so škodlivým kódom môže byť schopná získať prístup k obmedzeným portom na ľubovoľných serveroch
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2021-30720: David Schütz (@xdavidhu)
Ďalšie poďakovanie
CommCenter
Poďakovanie za pomoc si zaslúži CHRISTIAN MINA.
ImageIO
Poďakovanie za pomoc si zaslúži Jzhu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a anonymný výskumník.
Mail Drafts
Poďakovanie za pomoc si zaslúži Lauritz Holtmann (@_lauritz_).
WebKit
Poďakovanie za pomoc si zaslúži Chris Salls (@salls) z tímu Makai Security.