Mengenai konten keamanan watchOS 8.3

Dokumen ini menjelaskan konten keamanan watchOS 8.3.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.

watchOS 8,3

Dirilis pada 13 Desember 2021

Audio

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30960: JunDong Xie dari Ant Security Light-Year Lab

CFNetwork Proxies

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Lalu lintas pengguna mungkin dapat dibocorkan secara tidak terduga ke server proxy meskipun terdapat konfigurasi PAC

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30966: Michal Rajcan dari Jamf, Matt Vlasach dari Jamf (Wandera)

ColorSync

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori saat memproses profil ICC telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30926: Jeremy Brown

CVE-2021-30942: Mateusz Jurczyk dari Google Project Zero

CoreAudio

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30957: JunDong Xie dari Ant Security Light-Year Lab

Entri diperbarui pada 25 Mei 2022

CoreAudio

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memutar file audio yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2021-30958: JunDong Xie dari Ant Security Light-Year Lab

Crash Reporter

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka

Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.

CVE-2021-30945: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)

FontParser

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-31013: Daniel Lim Wee Soong dari STAR Labs

Entri ditambahkan pada 6 Juni 2023

Game Center

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat membaca informasi kontak yang sensitif

Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.

CVE-2021-31000: Denis Tokarev (@illusionofcha0s)

Entri ditambahkan pada 25 Mei 2022

ImageIO

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30939: Mickey Jin (@patch1t) dari Trend Micro, Jaewon Min dari Cisco Talos, Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab

Entri diperbarui pada 25 Mei 2022

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30916: Zweig dari Kunlun Lab

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.

CVE-2021-30937: Sergei Glazunov dari Google Project Zero

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2021-30927: Xinru Chi dari Pangu Lab

CVE-2021-30980: Xinru Chi dari Pangu Lab

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30949: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30993: OSS-Fuzz, Ned Williamson dari Google Project Zero

Kernel

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30955: Zweig dari Kunlun Lab

Messages

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Pengguna berbahaya mungkin dapat keluar dari grup pesan, tetapi tetap menerima pesan dari grup tersebut

Deskripsi: Masalah penanganan keanggotaan grup telah diatasi dengan logika yang ditingkatkan.

CVE-2021-30943: Joshua Sardella

Entri ditambahkan pada 25 Mei 2022

Preferences

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30995: Mickey Jin (@patch1t) dari Trend Micro, Mickey Jin (@patch1t)

Sandbox

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah validasi terkait dengan perilaku tautan keras telah diatasi dengan pembatasan sandbox yang ditingkatkan.

CVE-2021-30968: Csaba Fitzl (@theevilbit) dari Offensive Security

Sandbox

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu

Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.

CVE-2021-30946: @gorelics, dan Ron Masas dari BreakPoint.sh

Entri diperbarui pada 6 Juni 2023

Sandbox

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi mungkin dapat mengakses file pengguna

Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.

CVE-2021-30947: Csaba Fitzl (@theevilbit) dari Offensive Security

SQLite

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: App berbahaya mungkin dapat mengakses data dari app lain dengan mengaktifkan pencatatan tambahan

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30944: Wojciech Reguła (@_r3ggi) dari SecuRing

Entri ditambahkan pada 25 Mei 2022

TCC

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Pengguna lokal dapat memodifikasi bagian sistem file yang dilindungi

Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.

CVE-2021-30767: @gorelics

TCC

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi

Deskripsi: Masalah izin bawaan telah diatasi dengan pembatasan tambahan.

CVE-2021-30964: Andy Grant dari Zoom Video Communications

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30934: Dani Biro

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.

CVE-2021-30936: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher lab

CVE-2021-30951: Pangu

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.

CVE-2021-30952: @18f dan @jq0904 dari DBAPP Security‘s weibin lab melalui Tianfu Cup

Entri diperbarui pada 25 Mei 2022

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.

CVE-2021-30984: Kunlun Lab melalui Tianfu Cup

Entri diperbarui pada 25 Mei 2022

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2021-30953: Jianjun Dai dari 360 Vulnerability Research Institute melalui Tianfu Cup

Entri diperbarui pada 25 Mei 2022

WebKit

Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2021-30954: Kunlun Lab melalui Tianfu Cup

Entri diperbarui pada 25 Mei 2022

Penghargaan tambahan

Bluetooth

Kami ingin mengucapkan terima kasih kepada Haram Park, Korea University atas bantuannya.

ColorSync

Kami ingin mengucapkan terima kasih kepada Mateusz Jurczyk dari Google Project Zero atas bantuannya.

Contacts

Kami ingin mengucapkan terima kasih kepada Minchan Park (03stin) atas bantuannya.

Kernel

Kami ingin mengucapkan terima kasih kepada Amit Klein dari Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security atas bantuannya.

WebKit

Kami ingin mengucapkan terima kasih kepada Peter Snyder dari Brave dan Soroush Karami atas bantuannya.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: