Zawartość związana z zabezpieczeniami w systemie watchOS 8.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 8.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 8.3

Wydano 13 grudnia 2021 r.

Audio

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: analiza składni złośliwie spreparowanego pliku audio może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2021-30960: JunDong Xie z Ant Security Light-Year Lab

CFNetwork Proxies

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: ruch użytkowników może nieoczekiwanie przeciekać do serwera proxy pomimo konfiguracji przy użyciu pliku PAC.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30966: Michal Rajcan z Jamf, Matt Vlasach z Jamf (Wandera)

ColorSync

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd w procedurze przetwarzania profilów ICC powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności danych wejściowych.

CVE-2021-30926: Jeremy Brown

CVE-2021-30942: Mateusz Jurczyk z Google Project Zero

CoreAudio

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2021-30957: JunDong Xie z Ant Security Light-Year Lab

Wpis uaktualniono 25 maja 2022 r.

CoreAudio

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30958: JunDong Xie z Ant Security Light-Year Lab

Crash Reporter

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: lokalny atakujący może być w stanie podwyższyć swój poziom uprawnień.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30945: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab (xlab.tencent.com)

FontParser

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-31013: Daniel Lim Wee Soong ze STAR Labs

Wpis dodano 6 czerwca 2023 r.

Game Center

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może być w stanie odczytać poufne informacje kontaktowe.

Opis: usunięto błąd uprawnień przez poprawienie procedury sprawdzania poprawności.

CVE-2021-31000: Denis Tokarev (@illusionofcha0s)

Wpis dodano 25 maja 2022 r.

ImageIO

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30939: Mickey Jin (@patch1t) z Trend Micro, Jaewon Min z Cisco Talos, Rui Yang i Xingwei Lin z Ant Security Light-Year Lab

Wpis uaktualniono 25 maja 2022 r.

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30916: Zweig z Kunlun Lab

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2021-30937: Sergei Glazunov z Google Project Zero

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-30927: Xinru Chi z Pangu Lab

CVE-2021-30980: Xinru Chi z Pangu Lab

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2021-30949: Ian Beer z Google Project Zero

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2021-30993: OSS-Fuzz, Ned Williamson z Google Project Zero

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2021-30955: Zweig z Kunlun Lab

Messages

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwy użytkownik może opuścić grupę wiadomości, ale nadal otrzymywać wiadomości z tej grupy.

Opis: naprawiono błąd w obsłudze członkostwa w grupie poprzez poprawienie procedur obsługi procesów logicznych.

CVE-2021-30943: Joshua Sardella

Wpis dodano 25 maja 2022 r.

Preferences

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2021-30995: Mickey Jin (@patch1t) z Trend Micro, Mickey Jin (@patch1t)

Sandbox

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może obejść określone preferencje prywatności.

Opis: usunięto błąd sprawdzania poprawności związany z działaniem twardego łącza przez poprawienie ograniczeń piaskownicy.

CVE-2021-30968: Csaba Fitzl (@theevilbit) z Offensive Security

Sandbox

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może obejść określone preferencje prywatności.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30946: @gorelics i Ron Masas z BreakPoint.sh

Wpis uaktualniono 6 czerwca 2023 r.

Sandbox

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: aplikacja może uzyskać dostęp do plików użytkownika.

Opis: usunięto błąd dostępu przez wprowadzenie dodatkowych ograniczeń piaskownicy.

CVE-2021-30947: Csaba Fitzl (@theevilbit) z Offensive Security

SQLite

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może uzyskać dostęp do danych z innych aplikacji poprzez dodatkowe dzienniki.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30944: Wojciech Reguła (@_r3ggi) z SecuRing

Wpis dodano 25 maja 2022 r.

TCC

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30767: @gorelics

TCC

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.

Opis: naprawiono błąd dziedziczonych uprawnień przez wprowadzenie dodatkowych ograniczeń.

CVE-2021-30964: Andy Grant z Zoom Video Communications

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2021-30934: Dani Biro

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-30936: Chijin Zhou z ShuiMuYuLin Ltd i Tsinghua wingtecher lab

CVE-2021-30951: Pangu

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30952: @18f i @jq0904 z DBAPP Securit weibin lab przez Tianfu Cup

Wpis uaktualniono 25 maja 2022 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2021-30984: Kunlun Lab przez Tianfu Cup

Wpis uaktualniono 25 maja 2022 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2021-30953: Jianjun Dai z 360 Vulnerability Research Institute przez Tianfu Cup

Wpis uaktualniono 25 maja 2022 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości www może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2021-30954: Kunlun Lab przez Tianfu Cup

Wpis uaktualniono 25 maja 2022 r.

Dodatkowe podziękowania

Bluetooth

Dziękujemy za udzieloną pomoc: Haram Park, Korea University.

ColorSync

Dziękujemy za udzieloną pomoc: Mateusz Jurczyk z Google Project Zero.

Contacts

Dziękujemy za udzieloną pomoc: Minchan Park (03stin).

Kernel

Dziękujemy za udzieloną pomoc: Amit Klein z Center for Research in Applied Cryptography and Cyber Security (Bar-Ilan University).

WebKit

Dziękujemy za udzieloną pomoc: Peter Snyder z Brave i Soroush Karami.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: