Tietoja watchOS 8.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 8.1:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta on Applen tuoteturvallisuus -sivulla.

watchOS 8.1

Julkaistu 25.10.2021

Audio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30907: Zweig (Kunlun Lab)

ColorSync

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: ICC-profiilien käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistusta.

CVE-2021-30917: Alexandru-Vlad Niculae ja Mateusz Jurczyk (Google Project Zero)

Continuity Camera

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen hyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Hallitsematon muotoilumerkkijono-ongelma ratkaistiin parantamalla annettujen tietojen varmistamista.

CVE-2021-30903: Gongyu Ma, Hangzhou Dianzi University

Kohta lisätty 25.5.2022

CoreAudio

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen tiedoston käsittely saattoi paljastaa käyttäjätietoja.

Kuvaus: Rajojen ulkopuolisen muistin luku ratkaistiin parantamalla rajojen tarkistusta.

CVE-2021-30905: Mickey Jin (@patch1t, Trend Micro)

CoreGraphics

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen PDF-tiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolisen muistin kirjoitusongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2021-30919

FileProvider

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattoi pystyä ohittamaan tietosuoja-asetukset.

Kuvaus: Käyttöoikeusongelma on ratkaistu parantamalla validointia.

CVE-2021-31007: Csaba Fitzl (@theevilbit, Offensive Security)

Kohta lisätty 31.3.2022, päivitetty 25.5.2022

FileProvider

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Annettujen tietojen tarkistusongelma on korjattu parantamalla muistin käsittelyä.

CVE-2021-30881: Simon Huang (@HuangShaomang) ja pjf (IceSword Lab, Qihoo 360)

Game Center

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittasovellus saattaa päästä käsiksi käyttäjän yhteystietoihin.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30895: Denis Tokarev (@illusionofcha0s)

Kohta päivitetty 25.5.2022

Game Center

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haittaohjelma saattaa pystyä lukemaan käyttäjän pelitietoja.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30896: Denis Tokarev (@illusionofcha0s)

Kohta päivitetty 25.5.2022

iCloud

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Paikallinen hyökkääjä saattoi pystyä korottamaan oikeuksiaan

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2021-30906: Cees Elzinga

IOMobileFrameBuffer

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Appi saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla. Apple on tietoinen raportista, jonka mukaan tätä ongelmaa on saatettu aktiivisesti hyödyntää.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30883: nimetön tutkija

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Etähyökkääjä saattoi saada laitteen käynnistymään uudelleen odottamatta.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tilankäsittelyä.

CVE-2021-30924: Elaman Iskakov (@darling_x0r, Effective) ja Alexey Katkov (@watman27)

Kohta lisätty 19.1.2022

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2021-30886: @0xalsr

Kernel

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Sovellus saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30909: Zweig (Kunlun Lab)

UIKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Henkilö, jolla on fyysinen pääsy laitteelle saattaa pystyä päättelemään käyttäjän salasanan luonteen suojatussa tekstikentässä.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30915: Kostas Angelopoulos

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-31008: nimetön tutkija

Kohta lisätty 31.3.2022, päivitetty 25.5.2022

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsittely saattoi johtaa sisällön suojauskäytännön odottamattomaan käytöstä poistamiseen.

Kuvaus: Logiikkaongelma on ratkaistu parantamalla rajoituksia.

CVE-2021-30887: Narendra Bhati (@imnarendrabhati, Suma Soft Pvt. Ltd.)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Sisällön suojauskäytäntö -raportteja käyttävä haitallinen verkkosivusto saattoi pystyä vuotamaan tietoja uudelleenohjauskäyttäytymisellä.

Kuvaus: Tietovuoto-ongelma ratkaistiin.

CVE-2021-30888: Prakash (@1lastBr3ath)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2021-30889: Chijin Zhou (ShuiMuYuLin Ltd ja Tsinghua wingtecher lab)

WebKit

Saatavuus: Apple Watch Series 3 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2021-30890: nimetön tutkija

Kiitokset

iCloud

Haluamme kiittää Ryan Pickrenia (ryanpickren.com) hänen avustaan.

Mail

Haluamme kiittää avusta Fabian Isingia ja Damian Poddebniakia (Münster University of Applied Sciences).

WebKit

Haluamme kiittää Ivan Fratricia (Google Project Zero), Pavel Gromadchukia sekä nimetöntä tutkijaa heidän avustaan.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: