Om säkerhetsinnehållet i watchOS 7.4
Det här dokumentet beskriver säkerhetsinnehållet i watchOS 7.4.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter med hjälp av CVE-ID när det är möjligt.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
watchOS 7.4
Släpptes 26 april 2021
AppleMobileFileIntegrity
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Ett skadligt program kan kringgå integritetsinställningar
Beskrivning: Ett problem med validering av kodsignaturer åtgärdades med förbättrade kontroller.
CVE-2021-1849: Siguza
Audio
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En app utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1808: JunDong Xie på Ant Security Light-Year Lab
CFNetwork
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan avslöja känslig användarinformation
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2021-1857: En anonym forskare
Compression
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering
Beskrivning: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod.
CVE-2021-30752: Ye Zhang(@co0py_Cat) på Baidu Security
Lades till 21 juli 2021
CoreAudio
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en fil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-30664: JunDong Xie på Ant Security Light-Year Lab
Lades till 6 maj 2021
CoreAudio
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till att begränsat minne avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1846: JunDong Xie på Ant Security Light-Year Lab
CoreAudio
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En app med skadligt innehåll utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1809: JunDong Xie på Ant Security Light-Year Lab
CoreFoundation
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En skadlig app kan läcka känslig användarinformation
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2021-30659: Thijs Alkemade på Computest
CoreText
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av ett typsnitt med skadligt innehåll kan leda till att processminnet avslöjas
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1811: Xingwei Lin på Ant Security Light-Year Lab
FaceTime
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Ett försök att stänga av ljudet under ett CallKit-samtal kunde leda till att ljudet inte stängdes av
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1872: Siraj Zaneer på Facebook
FontParser
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2021-1881: En anonym forskare, Xingwei Lin på Ant Security Light-Year Lab, Mickey Jin på Trend Micro och Hou JingYi (@hjy79425575) på Qihoo 360
Foundation
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En app kan få högre behörighet
Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Foundation
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En skadlig app kan tillskansa sig rotbehörighet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.
CVE-2021-1813: Cees Elzinga
Heimdal
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadliga servermeddelanden kan leda till heap-fel
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Problemet åtgärdades med förbättrade kontroller.
CVE-2021-1880: Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang på Baidu Security
CVE-2021-1814: Ye Zhang på Baidu Security, Mickey Jin och Qi Sun på Trend Micro och Xingwei Lin på Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang på Baidu Security
ImageIO
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1885: CFF på Topsec Alpha Team
ImageIO
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: Ett problem med dataskrivning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-1858: Mickey Jin på Trend Micro
ImageIO
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Ett problem med skrivning utanför gränserna åtgärdades genom förbättrad indatavalidering
Beskrivning: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod.
CVE-2021-30743: Ye Zhang (@co0py_Cat) på Baidu Security, Jzhu i samarbete med Trend Micro Zero Day Initiative, Xingwei Lin på Ant Security Light-Year Lab, CFF på Topsec Alpha Team, Jeonghoon Shin (@singi21a) på THEORI i samarbete med Trend Micro Zero Day Initiative
Lades till 21 juli 2021
ImageIO
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Problemet åtgärdades med förbättrade kontroller
Beskrivning: Bearbetning av en fil med skadligt innehåll kan ge upphov till körning av opålitlig kod.
CVE-2021-30764: Anonym i samarbete med Trend Micro Zero Day Initiative
Lades till 21 juli 2021
iTunes Store
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En angripare kan använda JavaScript-körning för att köra opålitlig kod
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2021-1864: CodeColorist på Ant-Financial LightYear Labs
Kernel
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En app med skadligt innehåll kan komma åt kernelminnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2021-1860: @0xalsr
Kernel
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En skadlig app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.
CVE-2021-1816: Tielei Wang på Pangu Lab
Kernel
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1851: @0xalsr
Kernel
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Kopierade filer har inte alltid de förväntade filbehörigheterna
Beskrivning: Problemet har åtgärdats genom förbättrad behörighetslogik.
CVE-2021-1832: En anonym forskare
Kernel
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En app med skadligt innehåll kan komma åt kernelminnet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2021-30660: Alex Plaskett
libxpc
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En skadlig app kan tillskansa sig rotbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom ytterligare validering.
CVE-2021-30652: James Hutchins
libxslt
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av en skadlig fil kan leda till heap-fel
Beskrivning: Ett dubbelt fritt fel åtgärdades genom förbättrad minneshantering.
CVE-2021-1875: Hittad av OSS-Fuzz
MobileInstallation
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En lokal användare kan ändra skyddade delar av filsystemet
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2021-1822: Bruno Virlet på The Grizzly Labs
Preferences
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En lokal användare kan ändra skyddade delar av filsystemet
Beskrivning: Ett tolkningsfel i hanteringen av katalogsökvägar åtgärdades med förbättrad sökvägsvalidering.
CVE-2021-1815: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) och Yuebin Sun (@yuebinsun2020) på Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En lokal användare kan skriva opålitliga filer
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: En lokal angripare kan höja sin behörighet
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1868: Tim Michaud på Zoom Communications
WebKit
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till en attack med skriptkörning över flera sajter
Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.
CVE-2021-1825: Alex Camboe på Aon’s Cyber Solutions
WebKit
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2021-1817: zhunki
Lades till 6 maj 2021
WebKit
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadligt utformat webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.
CVE-2021-1826: En anonym forskare
WebKit
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till att processminnet visas
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2021-1820: André Bargull
Lades till 6 maj 2021
WebKit Storage
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod. Apple känner till en rapport om att det här problemet kan ha utnyttjats aktivt.
Beskrivning: Ett UAF-fel åtgärdades genom förbättrad minneshantering.
CVE-2021-30661: yangkang (@dnpushme) på 360 ATA
WebRTC
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Ett UAF-fel åtgärdades genom förbättrad minneshantering
Beskrivning: En fjärrangripare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet blir korrupt.
CVE-2020-7463: Megan2013678
Lades till 21 juli 2021
Wi-Fi
Tillgängligt för: Apple Watch Series 3 och senare
Effekt: Ett logikfel åtgärdades genom förbättrad tillståndshantering
Beskrivning: Ett buffertspill kan leda till körning av opålitlig kod.
CVE-2021-1770: Jiska Classen (@naehrdine) på Secure Mobile Networking Lab, TU Darmstadt
Lades till 21 juli 2021
Ytterligare tack
AirDrop
Vi vill tacka @maxzks för hjälpen.
CoreAudio
Vi vill tacka en anonym forskare för hjälpen.
CoreCrypto
Vi vill tacka Andy Russon på Orange Group för hjälpen.
File Bookmark
Vi vill tacka en anonym forskare för hjälpen.
Foundation
Vi vill tacka CodeColorist på Ant-Financial LightYear Labs för hjälpen.
Kernel
Vi vill tacka Antonio Frighetto på Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä (@Turmio_) på SensorFu, Proteas och Tielei Wang på Pangu Lab för hjälpen.
Säkerhet
Vi vill tacka Xingwei Lin på Ant Security Light-Year Lab och john (@nyan_satan) för hjälpen.
sysdiagnose
Vi vill tacka Tim Michaud (@TimGMichaud) på Leviathan för hjälpen.
WebKit
Vi vill tacka Emilio Cobos Álvarez på Mozilla för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.