Tietoja watchOS 8.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 8.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.
watchOS 8.1
Audio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30907: Zweig (Kunlun Lab)
ColorSync
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.
CVE-2021-30917: Alexandru-Vlad Niculae ja Mateusz Jurczyk (Google Project Zero)
Continuity Camera
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.
CVE-2021-30903: Gongyu Ma, Hangzhou Dianzi University
CoreAudio
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.
Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.
CVE-2021-30905: Mickey Jin (@patch1t, Trend Micro)
CoreGraphics
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2021-30919
FileProvider
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.
Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.
CVE-2021-31007: Csaba Fitzl (@theevilbit, Offensive Security)
FileProvider
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.
CVE-2021-30881: Simon Huang (@HuangShaomang) ja pjf (IceSword Lab, Qihoo 360)
Game Center
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittasovellus saattaa päästä käsiksi käyttäjän yhteystietoihin.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30895: Denis Tokarev (@illusionofcha0s)
Game Center
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haittaohjelma saattaa pystyä lukemaan käyttäjän pelitietoja.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30896: Denis Tokarev (@illusionofcha0s)
iCloud
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan
Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.
CVE-2021-30906: Cees Elzinga
IOMobileFrameBuffer
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30883: nimetön tutkija
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.
Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.
CVE-2021-30924: Elaman Iskakov (@darling_x0r, Effective) ja Alexey Katkov (@watman27)
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2021-30886: @0xalsr
Kernel
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30909: Zweig (Kunlun Lab)
UIKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Henkilö, jolla on fyysinen pääsy laitteelle saattaa pystyä päättelemään käyttäjän salasanan luonteen suojatussa tekstikentässä.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30915: Kostas Angelopoulos
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.
Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-31008: nimetön tutkija
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa sisällön suojauskäytännön odottamattomaan käytöstä poistamiseen.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.
CVE-2021-30887: Narendra Bhati (@imnarendrabhati, Suma Soft Pvt. Ltd.)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Sisällön suojauskäytäntö -raportteja käyttävä haitallinen verkkosivusto saattoi pystyä vuotamaan tietoja uudelleenohjauskäyttäytymisellä.
Kuvaus: Tietovuoto-ongelma ratkaistiin.
CVE-2021-30888: Prakash (@1lastBr3ath)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd ja Tsinghua wingtecher lab)
WebKit
Saatavuus: Apple Watch Series 3 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2021-30890: nimetön tutkija
Kiitokset
iCloud
Haluamme kiittää Ryan Pickrenia (ryanpickren.com) hänen avustaan.
Haluamme kiittää avusta Fabian Isingia ja Damian Poddebniakia (Münster University of Applied Sciences).
WebKit
Haluamme kiittää Ivan Fratricia (Google Project Zero), Pavel Gromadchukia sekä nimetöntä tutkijaa heidän avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.