Mengenai konten keamanan watchOS 8.3
Dokumen ini menjelaskan konten keamanan watchOS 8.3.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.
Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.
Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple.
watchOS 8,3
Audio
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Menguraikan file audio perusak yang berbahaya dapat mengakibatkan pengungkapan informasi pengguna
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30960: JunDong Xie dari Ant Security Light-Year Lab
CFNetwork Proxies
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Lalu lintas pengguna mungkin dapat dibocorkan secara tidak terduga ke server proxy meskipun terdapat konfigurasi PAC
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30966: Michal Rajcan dari Jamf, Matt Vlasach dari Jamf (Wandera)
ColorSync
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses gambar perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori saat memproses profil ICC telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30926: Jeremy Brown
CVE-2021-30942: Mateusz Jurczyk dari Google Project Zero
CoreAudio
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses file audio perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30957: JunDong Xie dari Ant Security Light-Year Lab
CoreAudio
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memutar file audio yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.
CVE-2021-30958: JunDong Xie dari Ant Security Light-Year Lab
Crash Reporter
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang lokal mungkin dapat meningkatkan hak istimewa mereka
Deskripsi: Masalah ini telah diatasi dengan pemeriksaan yang ditingkatkan.
CVE-2021-30945: Zhipeng Huo (@R3dF09) dan Yuebin Sun (@yuebinsun2020) dari Tencent Security Xuanwu Lab (xlab.tencent.com)
FontParser
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses font perusak berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-31013: Daniel Lim Wee Soong dari STAR Labs
Game Center
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat membaca informasi kontak yang sensitif
Deskripsi: Masalah izin telah diatasi dengan validasi yang ditingkatkan.
CVE-2021-31000: Denis Tokarev (@illusionofcha0s)
ImageIO
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses gambar perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30939: Mickey Jin (@patch1t) dari Trend Micro, Jaewon Min dari Cisco Talos, Rui Yang dan Xingwei Lin dari Ant Security Light-Year Lab
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30916: Zweig dari Kunlun Lab
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kerentanan kerusakan memori telah diatasi melalui penguncian yang ditingkatkan.
CVE-2021-30937: Sergei Glazunov dari Google Project Zero
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2021-30927: Xinru Chi dari Pangu Lab
CVE-2021-30980: Xinru Chi dari Pangu Lab
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30949: Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengeksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30993: OSS-Fuzz, Ned Williamson dari Google Project Zero
Kernel
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30955: Zweig dari Kunlun Lab
Messages
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna berbahaya mungkin dapat keluar dari grup pesan, tetapi tetap menerima pesan dari grup tersebut
Deskripsi: Masalah penanganan keanggotaan grup telah diatasi dengan logika yang ditingkatkan.
CVE-2021-30943: Joshua Sardella
Preferences
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat meningkatkan hak istimewa
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30995: Mickey Jin (@patch1t) dari Trend Micro, Mickey Jin (@patch1t)
Sandbox
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah validasi terkait dengan perilaku tautan keras telah diatasi dengan pembatasan sandbox yang ditingkatkan.
CVE-2021-30968: Csaba Fitzl (@theevilbit) dari Offensive Security
Sandbox
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi tertentu
Deskripsi: Masalah logika telah diatasi dengan pembatasan yang ditingkatkan.
CVE-2021-30946: @gorelics, dan Ron Masas dari BreakPoint.sh
Sandbox
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi mungkin dapat mengakses file pengguna
Deskripsi: Masalah akses telah diatasi dengan pembatasan sandbox tambahan.
CVE-2021-30947: Csaba Fitzl (@theevilbit) dari Offensive Security
SQLite
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: App berbahaya mungkin dapat mengakses data dari app lain dengan mengaktifkan pencatatan tambahan
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30944: Wojciech Reguła (@_r3ggi) dari SecuRing
TCC
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Pengguna lokal dapat memodifikasi bagian sistem file yang dilindungi
Deskripsi: Masalah logika telah diatasi dengan manajemen status yang ditingkatkan.
CVE-2021-30767: @gorelics
TCC
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Aplikasi berbahaya mungkin dapat melewati preferensi Privasi
Deskripsi: Masalah izin bawaan telah diatasi dengan pembatasan tambahan.
CVE-2021-30964: Andy Grant dari Zoom Video Communications
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kelebihan buffer telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30934: Dani Biro
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah penggunaan setelah pengosongan telah diatasi dengan pengelolaan memori yang ditingkatkan.
CVE-2021-30936: Chijin Zhou dari ShuiMuYuLin Ltd dan Tsinghua wingtecher lab
CVE-2021-30951: Pangu
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan bilangan bulat telah diatasi dengan validasi input yang ditingkatkan.
CVE-2021-30952: @18f dan @jq0904 dari DBAPP Security‘s weibin lab melalui Tianfu Cup
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kondisi pacu telah diatasi dengan penanganan status yang ditingkatkan.
CVE-2021-30984: Kunlun Lab melalui Tianfu Cup
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Pembacaan di luar batas telah diatasi dengan pemeriksaan batas yang ditingkatkan.
CVE-2021-30953: Jianjun Dai dari 360 Vulnerability Research Institute melalui Tianfu Cup
WebKit
Tersedia untuk: Apple Watch Series 3 dan versi yang lebih baru
Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.
CVE-2021-30954: Kunlun Lab melalui Tianfu Cup
Penghargaan tambahan
Bluetooth
Kami ingin mengucapkan terima kasih kepada Haram Park, Korea University atas bantuannya.
ColorSync
Kami ingin mengucapkan terima kasih kepada Mateusz Jurczyk dari Google Project Zero atas bantuannya.
Contacts
Kami ingin mengucapkan terima kasih kepada Minchan Park (03stin) atas bantuannya.
Kernel
Kami ingin mengucapkan terima kasih kepada Amit Klein dari Bar-Ilan University's Center for Research in Applied Cryptography and Cyber Security atas bantuannya.
WebKit
Kami ingin mengucapkan terima kasih kepada Peter Snyder dari Brave dan Soroush Karami atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.