Om säkerhetsinnehållet i watchOS 7.6

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 7.6.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

watchOS 7.6

Släpptes 19 juli 2021

ActionKit

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En genväg kan kringgå internetbehörighetskrav

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2021-30763: Zachary Keffaber (@QuickUpdate5)

Analytics

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En lokal angripare kan få tillgång till analysdata

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2021-30871: Denis Tokarev (@illusionofcha0s)

Lades till 25 oktober 2021, uppdaterades 25 maj 2022

App Store

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En skadlig app kan kringgå vissa integritetsinställningar

Beskrivning: Ett tillståndsproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-31006: Csaba Fitzl (@theevilbit) på Offensive Security

Lades till 25 maj 2022

Audio

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En lokal angripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30781: Tr3e

CoreAudio

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30775: JunDong Xie på Ant Security Light-Year Lab

CoreAudio

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Uppspelning av en skadlig ljudfil kan leda till oväntat programavslut

Beskrivning: Ett logikproblem åtgärdades genom förbättrad validering.

CVE-2021-30776: JunDong Xie på Ant Security Light-Year Lab

CoreText

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2021-30789: Mickey Jin (@patch1t) på Trend Micro, Sunglin på Knownsec 404 team

Crash Reporter

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett logikproblem åtgärdades genom förbättrad validering.

CVE-2021-30774: Yizhuo Wang på Group of Software Security In Progress (G.O.S.S.I.P) på Shanghai Jiao Tong University

CVMS

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En skadlig app kan tillskansa sig rotbehörighet

Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2021-30780: Tim Michaud (@TimGMichaud) på Zoom Video Communications

dyld

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En process i sandlådeläge kan kringgå sandlådebegränsningarna

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2021-30768: Linus Henze (pinauten.de)

FontParser

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-30760: Sunglin på Knownsec 404 team

FontParser

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en TIFF-fil med skadligt innehåll kan leda till ett DoS-angrepp eller potentiellt avslöja innehåll från minnet

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30788: Tr3e i samarbete med Trend Micro Zero Day Initiative

FontParser

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett stackspill åtgärdades genom förbättrad indatavalidering.

CVE-2021-30759: Hjy79425575 i samarbete med Trend Micro Zero Day Initiative

Identity Service

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Ett skadligt program kan kringgå kodsigneringskontroller

Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.

CVE-2021-30773: Linus Henze (pinauten.de)

ImageIO

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30779: Jzhu, Ye Zhang (@co0py_Cat) på Baidu Security

ImageIO

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2021-30785: Mickey Jin (@patch1t) på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Uppdaterades 19 januari 2022

Kernel

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En angripare med opålitlig läs- och skrivkapacitet kan kringgå pekarautentisering

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30769: Linus Henze (pinauten.de)

Kernel

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En angripare som redan har uppnått körning av kernel-kod kan kringgå kärnminnesbegränsningar

Beskrivning: Ett logikproblem åtgärdades genom förbättrad validering.

CVE-2021-30770: Linus Henze (pinauten.de)

libxml2

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En fjärrangripare kan orsaka körning av opålitlig kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-3518

Networking

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Om du besöker en webbsida med skadligt innehåll kan det leda till att tjänster nekas av systemet

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-1821: Georgi Valkov (httpstorm.com)

Lades till 25 oktober 2021

TCC

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: En skadlig app kan kringgå vissa integritetsinställningar

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2021-30798: Mickey Jin (@patch1t) på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Uppdaterades 19 januari 2022

WebKit

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad lägeshantering.

CVE-2021-30758: Christoph Guttandin på Media Codings

WebKit

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.

CVE-2021-30795: Sergei Glazunov på Google Project Zero

WebKit

Tillgängligt för: Apple Watch Series 3 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av kod

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2021-30797: Ivan Fratric på Google Project Zero

Ytterligare tack

CoreText

Vi vill tacka Mickey Jin (@patch1t) på Trend Micro för hjälpen.

Power Management

Vi vill tacka Pan ZhenPeng (@Peterpan0927) på Alibaba Security Pandora Lab och Csaba Fitzl (@theevilbit) och Lisandro Ubiedo (@_lubiedo) på Stratosphere Lab för hjälpen.

Lades till 6  juni 2023

Safari

Vi vill tacka en anonym forskare för hjälpen.

Sandbox

Vi vill tacka Csaba Fitzl (@theevilbit) på Offensive Security för hjälpen.

sysdiagnose

Lades till 25 maj, 2022, uppdaterades 16 juli 2024

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: