Zawartość związana z zabezpieczeniami w systemie watchOS 8

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 8.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 8

Wydano 20 września 2021 r.

Accessory Manager

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30837: Siddharth Aeri (@b1n4r1b01)

Wpis uaktualniono 19 stycznia 2022 r.

AppleMobileFileIntegrity

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: lokalny atakujący może być w stanie odczytać poufne informacje.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30811: anonimowy badacz we współpracy z Compartir

bootp

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.

Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.

CVE-2021-30866: Fabien Duchêne z UCLouvain (Belgium)

Wpis dodano 25 października 2021 r.

CoreAudio

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może prowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30834: JunDong Xie z Ant Security Light-Year Lab

Wpis dodano 25 października 2021 r.

CoreGraphics

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30928: Mickey Jin (@patch1t) z Trend Micro

Wpis dodano 19 stycznia 2022 r.

FaceTime

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: aplikacja mająca uprawnienia do mikrofonu może nieoczekiwanie uzyskać dostęp do wejścia mikrofonu podczas połączenia FaceTime.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2021-30882: Adam Bellard i Spencer Reitman z Airtime

Wpis dodano 25 października 2021 r.

FontParser

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30831: Xingwei Lin z Ant Security Light-Year Lab

Wpis dodano 25 października 2021 r.

FontParser

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30840: Xingwei Lin z Ant Security Light-Year Lab

Wpis dodano 25 października 2021 r.

FontParser

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30841: Xingwei Lin z Ant Security Light-Year Lab

CVE-2021-30842: Xingwei Lin z Ant Security Light-Year Lab

CVE-2021-30843: Xingwei Lin z Ant Security Light-Year Lab

Foundation

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2021-30852: Yinyi Wu (@3ndy1) z Ant Security Light-Year Lab

Wpis dodano 25 października 2021 r.

ImageIO

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30814: hjy79425575

Wpis dodano 25 października 2021 r.

ImageIO

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30835: Ye Zhang z Baidu Security

CVE-2021-30847: Mike Zhang z Pangu Lab

Kernel

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2021-30857: Manish Bhatt z Red Team X @Meta, Zweig z Kunlun Lab

Wpis uaktualniono 25 maja 2022 r.

libexpat

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: ten problem rozwiązano przez uaktualnienie biblioteki expat do wersji 2.4.1.

CVE-2013-0340: anonimowy badacz

Preferences

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: aplikacja może uzyskać dostęp do plików objętych ograniczeniami.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2021-30855: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab (xlab.tencent.com)

Preferences

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2021-30854: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab (xlab.tencent.com)

Sandbox

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.

Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.

CVE-2021-30925: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano 19 stycznia 2022 r.

Sandbox

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.

Opis: ten błąd naprawiono przez poprawienie sprawdzania.

CVE-2021-30808: Csaba Fitzl (@theevilbit) z Offensive Security

Wpis dodano 25 października 2021 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie historii stron odwiedzonych przez użytkownika.

Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących komponowania CSS.

CVE-2021-30884: anonimowy badacz

Wpis dodano 25 października 2021 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30818: Amar Menezes (@amarekano) z Zon8Research

Wpis dodano 25 października 2021 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie obejść zabezpieczenia HSTS.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2021-30823: David Gullasch z Recurity Labs

Wpis dodano 25 października 2021 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2021-30836: Peter Nguyen Vu Hoang ze STAR Labs

Wpis dodano 25 października 2021 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2021-30809: anonimowy badacz

Wpis dodano 25 października 2021 r.

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30846: Sergei Glazunov z Google Project Zero

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2021-30849: Sergei Glazunov z Google Project Zero

WebKit

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.

CVE-2021-30851: Samuel Groß z Google Project Zero

Wi-Fi

Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli

Zagrożenie: osoba atakująca znajdująca się w bliskiej odległości może być w stanie wymusić na użytkowniku korzystanie ze złośliwie spreparowanej sieci Wi-Fi podczas konfiguracji urządzenia.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2021-30810: Peter Scott

Wpis uaktualniono 19 stycznia 2022 r.

Dodatkowe podziękowania

bootp

Dziękujemy za udzieloną pomoc: Alexander Burke (alexburke.ca).

Wpis dodano 25 maja 2022 r.

FaceTime

Dziękujemy za udzieloną pomoc: Mohammed Waqqas Kakangarai.

Wpis dodano 25 maja 2022 r.

Kernel

Dziękujemy za udzieloną pomoc: Joshua Baums z Informatik Baums.

Wpis dodano 19 stycznia 2022 r.

Sandbox

Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.

UIKit

Dziękujemy za udzieloną pomoc: Jason Rendel z Diligent.

Wpis dodano 19 stycznia 2022 r.

UIKit

Dziękujemy za udzieloną pomoc: Jason Rendel z Diligent.

Wpis uaktualniono 25 maja 2022 r.

WebKit

Dziękujemy za udzieloną pomoc: Nikhil Mittal (@c0d3G33k).

Wpis dodano 19 stycznia 2022 r.

Wi-Fi

Dziękujemy za udzieloną pomoc: Peter Scott.

Wpis dodano 25 maja 2022 r.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: