- Über den Sicherheitsinhalt von watchOS 7.4
Dieses Dokument beschreibt die Sicherheitsinhalte von watchOS 7.4.
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsupdates aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
Freigegeben 26. April 2021
AppleMobileFileIntegrity
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise die Datenschutzeinstellungen umgehen
Beschreibung: Ein Problem bei der Validierung von Codesignaturen wurde durch verbesserte Prüfungen behoben.
CVE-2021-1849: Siguza
Audio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1808: JunDong Xie von Ant Security Light-Year Lab
CFNetwork
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1857: ein anonymer Forscher
Komprimierung
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Out-of-bounds-Read wurde mit einer verbesserten Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30752: Ye Zhang (@co0py_Cat) von Baidu Security
Eintrag hinzugefügt Juli 21, 2021
CoreAudio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2021-30664: JunDong Xie von Ant Security Light-Year Lab
Eintrag hinzugefügt am 6. Mai 2021
CoreAudio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann eingeschränkten Speicher offenlegen
Beschreibung: Ein Out-of-bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2021-1846: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherbeschädigung wurde mit verbesserter Validierung behoben.
CVE-2021-1809: JunDong Xie von Ant Security Light-Year Lab
CoreFoundation
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise sensible Benutzerinformationen ausspähen
Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2021-30659: Thijs Alkemade von Computest
CoreText
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1811: Xingwei Lin von Ant Security Light-Year Lab
FaceTime
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Das Stummschalten eines CallKit-Anrufs während des Klingelns führt möglicherweise nicht dazu, dass die Stummschaltung aktiviert wird
Beschreibung: Ein logisches Problem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1872: Siraj Zaneer von Facebook
FontParser
Verfügbar für: Apple Watch Series 3 und höher
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftartdatei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-bounds-Read wurde mit verbesserter Eingabevalidierung behoben.
CVE-2021-1881: ein anonymer Forscher, Xingwei Lin von Ant Security Light-Year Lab, Mickey Jin von Trend Micro und Hou JingYi (@hjy79425575) von Qihoo 360
Stiftung
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Stiftung
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2021-1813: Cees Elzinga
Heimdal
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkung: Die Verarbeitung bösartig gestalteter Server-Nachrichten kann zu Heap Corruption führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Eine Wettlaufsituation wurde mit verbesserter Sperrung behoben.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-1880: Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang von Baidu Security
CVE-2021-1814: Ye Zhang von Baidu Security, Mickey Jin & Qi Sun von Trend Micro, und Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang von Baidu Sicherheit
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-1885: CFF von Topsec Alpha Team
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2021-1858: Mickey Jin von Trend Micro
ImageIO
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Out-of-Bounds-Write wurde mit verbesserter Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30743: Ye Zhang (@co0py_Cat) von Baidu Security, Jzhu in Zusammenarbeit mit Trend Micro Zero Day Initiative, Xingwei Lin von Ant Security Light-Year Lab, CFF von Topsec Alpha Team, Jeonghoon Shin (@singi21a) von THEORI in Zusammenarbeit mit Trend Micro Zero Day Initiative
Eintrag hinzugefügt Juli 21, 2021
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Dieses Problem wurde durch verbesserte Prüfungen behoben
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
CVE-2021-30764: Anonymous arbeitet mit der Trend Micro Zero Day Initiative zusammen
Eintrag hinzugefügt Juli 21, 2021
iTunes-Store
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer mit JavaScript-Ausführung kann möglicherweise beliebigen Code ausführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1864: CodeColorist von Ant-Financial LightYear Labs
Kernel
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1860: @0xalsr
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein bösartiges Programm kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2021-1816: Tielei Wang von Pangu Lab
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1851: @0xalsr
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Kopierte Dateien haben möglicherweise nicht die erwarteten Dateiberechtigungen
Beschreibung: Das Problem wurde durch eine verbesserte Berechtigungslogik behoben.
CVE-2021-1832: ein anonymer Forscher
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-30660: Alex Plaskett
libxpc
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Eine Wettlaufsituation wurde durch zusätzliche Validierung behoben.
CVE-2021-30652: James Hutchins
libxslt
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu Heap Corruption führen
Beschreibung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1875: Gefunden von OSS-Fuzz
MobileInstallation
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1822: Bruno Virlet von The Grizzly Labs
Voreinstellungen
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein Parsing-Problem bei der Behandlung von Verzeichnispfaden wurde durch eine verbesserte Pfadvalidierung behoben.
CVE-2021-1815: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein lokaler Benutzer kann möglicherweise beliebige Dateien schreiben
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Eingabensanitisierung behoben.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein lokaler Angreifer könnte in der Lage sein, seine Privilegien zu erhöhen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1868: Tim Michaud von Zoom Communications
WebKit
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Die Verarbeitung böswillig gestalteter Webinhalte kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Ein Problem bei der Eingabevalidierung wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2021-1825: Alex Camboe von Aon's Cyber Solutions
WebKit
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1817: zhunki
Eintrag aktualisiert am 6. Mai 2021
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1826: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung böswillig gestalteter Web-Inhalte kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2021-1820: André Bargull
Eintrag aktualisiert am 6. Mai 2021
WebKit-Speicher
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte.
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30661: yangkang(@dnpushme) von 360 ATA
WebRTC
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben
Beschreibung: Ein entfernter Angreifer könnte in der Lage sein, einen unerwarteten Systemabbruch herbeizuführen oder den Kernelspeicher zu beschädigen.
CVE-2020-7463: Megan2013678
Eintrag hinzugefügt am 21. Juli 2021
Wi-Fi
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein logisches Problem wurde mit verbesserter Statusverwaltung behoben
Beschreibung: Ein Pufferüberlauf kann zur Ausführung von beliebigem Code führen.
CVE-2021-1770: Jiska Classen (@naehrdine) von Secure Mobile Networking Lab, TU Darmstadt
Eintrag hinzugefügt am 21. Juli 2021
AirDrop
Wir möchten uns bei @maxzks für die Unterstützung bedanken.
CoreAudio
Wir möchten uns bei einem anonymen Forscher für seine Unterstützung bedanken.
CoreCrypto
Wir bedanken uns bei Andy Russon von Orange Group für seine Unterstützung.
Datei-Lesezeichen
Wir möchten uns bei einem anonymen Forscher für seine Unterstützung bedanken.
Stiftung
Wir möchten uns bei CodeColorist von Ant-Financial LightYear Labs für ihre Unterstützung bedanken.
Kernel
Wir danken Antonio Frighetto vom Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) von SensorFu, Proteas und Tielei Wang von Pangu Lab für ihre Unterstützung.
Sicherheit
Wir möchten Xingwei Lin von Ant Security Light-Year Lab und John (@nyan_satan) für ihre Unterstützung danken.
sysdiagnose
Wir möchten uns bei Tim Michaud (@TimGMichaud) von Leviathan für seine Unterstützung bedanken.
WebKit
Wir möchten uns bei Emilio Cobos Álvarez von Mozilla für seine Unterstützung bedanken.
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, die Leistung oder die Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Juli 21, 2021
Über Apple Sicherheitsupdates
Zum Schutz unserer Kunden veröffentlicht, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung stattgefunden hat und Patches oder Versionen verfügbar sind. Die neuesten Versionen sind auf der Seite Apple Sicherheitsupdates aufgeführt.
In den Sicherheitsdokumenten von Apple werden die Schwachstellen, wenn möglich, mit der CVE-ID angegeben.
Weitere Informationen zur Sicherheit finden Sie auf der Seite zur Sicherheit von Apple-Produkten.
watchOS 7.4
Freigegeben 26. April 2021
AppleMobileFileIntegrity
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise die Datenschutzeinstellungen umgehen
Beschreibung: Ein Problem bei der Validierung von Codesignaturen wurde durch verbesserte Prüfungen behoben.
CVE-2021-1849: Siguza
Audio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1808: JunDong Xie von Ant Security Light-Year Lab
CFNetwork
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann sensible Benutzerinformationen offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1857: ein anonymer Forscher
Komprimierung
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Out-of-bounds-Read wurde mit einer verbesserten Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30752: Ye Zhang (@co0py_Cat) von Baidu Security
Eintrag hinzugefügt Juli 21, 2021
CoreAudio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2021-30664: JunDong Xie von Ant Security Light-Year Lab
Eintrag hinzugefügt am 6. Mai 2021
CoreAudio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Audiodatei kann eingeschränkten Speicher offenlegen
Beschreibung: Ein Out-of-bounds-Read wurde durch eine verbesserte Eingabevalidierung behoben.
CVE-2021-1846: JunDong Xie von Ant Security Light-Year Lab
CoreAudio
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise eingeschränkten Speicher lesen
Beschreibung: Ein Problem der Speicherbeschädigung wurde mit verbesserter Validierung behoben.
CVE-2021-1809: JunDong Xie von Ant Security Light-Year Lab
CoreFoundation
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise sensible Benutzerinformationen ausspähen
Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2021-30659: Thijs Alkemade von Computest
CoreText
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Schriftart kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1811: Xingwei Lin von Ant Security Light-Year Lab
FaceTime
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Das Stummschalten eines CallKit-Anrufs während des Klingelns führt möglicherweise nicht dazu, dass die Stummschaltung aktiviert wird
Beschreibung: Ein logisches Problem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1872: Siraj Zaneer von Facebook
FontParser
Verfügbar für: Apple Watch Series 3 und höher
Auswirkung: Die Verarbeitung einer in böser Absicht erstellten Schriftartdatei kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-bounds-Read wurde mit verbesserter Eingabevalidierung behoben.
CVE-2021-1881: ein anonymer Forscher, Xingwei Lin von Ant Security Light-Year Lab, Mickey Jin von Trend Micro und Hou JingYi (@hjy79425575) von Qihoo 360
Stiftung
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise erhöhte Rechte erlangen
Beschreibung: Ein Problem der Speicherkorruption wurde mit verbesserter Validierung behoben.
CVE-2021-1882: Gabe Kirkpatrick (@gabe_k)
Stiftung
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Ein Validierungsproblem wurde mit einer verbesserten Logik behoben.
CVE-2021-1813: Cees Elzinga
Heimdal
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkung: Die Verarbeitung bösartig gestalteter Server-Nachrichten kann zu Heap Corruption führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-1883: Gabe Kirkpatrick (@gabe_k)
Heimdal
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein entfernter Angreifer kann möglicherweise einen Denial-of-Service verursachen
Beschreibung: Eine Wettlaufsituation wurde mit verbesserter Sperrung behoben.
CVE-2021-1884: Gabe Kirkpatrick (@gabe_k)
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Dieses Problem wurde durch verbesserte Prüfungen behoben.
CVE-2021-1880: Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-30653: Ye Zhang von Baidu Security
CVE-2021-1814: Ye Zhang von Baidu Security, Mickey Jin & Qi Sun von Trend Micro, und Xingwei Lin von Ant Security Light-Year Lab
CVE-2021-1843: Ye Zhang von Baidu Sicherheit
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-1885: CFF von Topsec Alpha Team
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Out-of-Bounds-Write-Problem wurde mit verbesserter Bound-Checking-Funktion behoben.
CVE-2021-1858: Mickey Jin von Trend Micro
ImageIO
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein Out-of-Bounds-Write wurde mit verbesserter Eingabevalidierung behoben
Beschreibung: Die Verarbeitung eines in böser Absicht erstellten Bildes kann zur Ausführung von beliebigem Code führen.
CVE-2021-30743: Ye Zhang (@co0py_Cat) von Baidu Security, Jzhu in Zusammenarbeit mit Trend Micro Zero Day Initiative, Xingwei Lin von Ant Security Light-Year Lab, CFF von Topsec Alpha Team, Jeonghoon Shin (@singi21a) von THEORI in Zusammenarbeit mit Trend Micro Zero Day Initiative
Eintrag hinzugefügt Juli 21, 2021
ImageIO
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Dieses Problem wurde durch verbesserte Prüfungen behoben
Beschreibung: Die Verarbeitung einer in böser Absicht erstellten Datei kann zur Ausführung von beliebigem Code führen.
CVE-2021-30764: Anonymous arbeitet mit der Trend Micro Zero Day Initiative zusammen
Eintrag hinzugefügt Juli 21, 2021
iTunes-Store
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Angreifer mit JavaScript-Ausführung kann möglicherweise beliebigen Code ausführen
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1864: CodeColorist von Ant-Financial LightYear Labs
Kernel
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch eine verbesserte Speicherbehandlung behoben.
CVE-2021-1860: @0xalsr
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein bösartiges Programm kann möglicherweise beliebigen Code mit Kernel-Rechten ausführen
Beschreibung: Ein Pufferüberlauf wurde durch eine verbesserte Überprüfung der Grenzen behoben.
CVE-2021-1816: Tielei Wang von Pangu Lab
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine Anwendung kann möglicherweise beliebigen Code mit den Rechten des Kernels ausführen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1851: @0xalsr
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Kopierte Dateien haben möglicherweise nicht die erwarteten Dateiberechtigungen
Beschreibung: Das Problem wurde durch eine verbesserte Berechtigungslogik behoben.
CVE-2021-1832: ein anonymer Forscher
Kernel
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise den Kernel-Speicher offenlegen
Beschreibung: Ein Out-of-Bounds-Read wurde mit verbesserter Bound-Checking-Methode behoben.
CVE-2021-30660: Alex Plaskett
libxpc
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Eine bösartige Anwendung kann möglicherweise Root-Rechte erlangen
Beschreibung: Eine Wettlaufsituation wurde durch zusätzliche Validierung behoben.
CVE-2021-30652: James Hutchins
libxslt
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung einer in böser Absicht erstellten Datei kann zu Heap Corruption führen
Beschreibung: Ein Double-Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-1875: Gefunden von OSS-Fuzz
MobileInstallation
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1822: Bruno Virlet von The Grizzly Labs
Voreinstellungen
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein lokaler Benutzer kann möglicherweise geschützte Teile des Dateisystems ändern
Beschreibung: Ein Parsing-Problem bei der Behandlung von Verzeichnispfaden wurde durch eine verbesserte Pfadvalidierung behoben.
CVE-2021-1815: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1739: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
CVE-2021-1740: Zhipeng Huo (@R3dF09) und Yuebin Sun (@yuebinsun2020) von Tencent Security Xuanwu Lab (xlab.tencent.com)
Safari
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein lokaler Benutzer kann möglicherweise beliebige Dateien schreiben
Beschreibung: Ein Validierungsproblem wurde mit verbesserter Eingabensanitisierung behoben.
CVE-2021-1807: David Schütz (@xdavidhu)
Tailspin
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein lokaler Angreifer könnte in der Lage sein, seine Privilegien zu erhöhen
Beschreibung: Ein Logikproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1868: Tim Michaud von Zoom Communications
WebKit
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Die Verarbeitung böswillig gestalteter Webinhalte kann zu einem Cross-Site-Scripting-Angriff führen
Beschreibung: Ein Problem bei der Eingabevalidierung wurde mit einer verbesserten Eingabevalidierung behoben.
CVE-2021-1825: Alex Camboe von Aon's Cyber Solutions
WebKit
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen
Beschreibung: Ein Speicherkorruptionsproblem wurde durch eine verbesserte Zustandsverwaltung behoben.
CVE-2021-1817: zhunki
Eintrag aktualisiert am 6. Mai 2021
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zu universellem Cross-Site-Scripting führen
Beschreibung: Ein logisches Problem wurde mit verbesserten Einschränkungen behoben.
CVE-2021-1826: ein anonymer Forscher
WebKit
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung böswillig gestalteter Web-Inhalte kann zur Offenlegung des Prozessspeichers führen
Beschreibung: Ein Speicherinitialisierungsproblem wurde durch verbesserte Speicherbehandlung behoben.
CVE-2021-1820: André Bargull
Eintrag aktualisiert am 6. Mai 2021
WebKit-Speicher
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Die Verarbeitung von in böser Absicht erstellten Webinhalten kann zur Ausführung von beliebigem Code führen. Apple ist ein Bericht bekannt, der besagt, dass dieses Problem aktiv ausgenutzt worden sein könnte.
Beschreibung: Ein "Use after free"-Problem wurde durch eine verbesserte Speicherverwaltung behoben.
CVE-2021-30661: yangkang(@dnpushme) von 360 ATA
WebRTC
Verfügbar für: Apple Watch Series 3 und höher
Auswirkungen: Ein Use After Free-Problem wurde durch eine verbesserte Speicherverwaltung behoben
Beschreibung: Ein entfernter Angreifer könnte in der Lage sein, einen unerwarteten Systemabbruch herbeizuführen oder den Kernelspeicher zu beschädigen.
CVE-2020-7463: Megan2013678
Eintrag hinzugefügt am 21. Juli 2021
Wi-Fi
Verfügbar für: Apple Watch Serie 3 und höher
Auswirkungen: Ein logisches Problem wurde mit verbesserter Statusverwaltung behoben
Beschreibung: Ein Pufferüberlauf kann zur Ausführung von beliebigem Code führen.
CVE-2021-1770: Jiska Classen (@naehrdine) von Secure Mobile Networking Lab, TU Darmstadt
Eintrag hinzugefügt am 21. Juli 2021
Zusätzliche Erkennung
AirDrop
Wir möchten uns bei @maxzks für die Unterstützung bedanken.
CoreAudio
Wir möchten uns bei einem anonymen Forscher für seine Unterstützung bedanken.
CoreCrypto
Wir bedanken uns bei Andy Russon von Orange Group für seine Unterstützung.
Datei-Lesezeichen
Wir möchten uns bei einem anonymen Forscher für seine Unterstützung bedanken.
Stiftung
Wir möchten uns bei CodeColorist von Ant-Financial LightYear Labs für ihre Unterstützung bedanken.
Kernel
Wir danken Antonio Frighetto vom Politecnico di Milano, GRIMM, Keyu Man, Zhiyun Qian, Zhongjie Wang, Xiaofeng Zheng, Youjun Huang, Haixin Duan, Mikko Kenttälä ( @Turmio_ ) von SensorFu, Proteas und Tielei Wang von Pangu Lab für ihre Unterstützung.
Sicherheit
Wir möchten Xingwei Lin von Ant Security Light-Year Lab und John (@nyan_satan) für ihre Unterstützung danken.
sysdiagnose
Wir möchten uns bei Tim Michaud (@TimGMichaud) von Leviathan für seine Unterstützung bedanken.
WebKit
Wir möchten uns bei Emilio Cobos Álvarez von Mozilla für seine Unterstützung bedanken.
Informationen über Produkte, die nicht von Apple hergestellt werden, oder unabhängige Websites, die nicht von Apple kontrolliert oder getestet werden, werden ohne Empfehlung oder Befürwortung bereitgestellt. Apple übernimmt keine Verantwortung für die Auswahl, die Leistung oder die Verwendung von Websites oder Produkten Dritter. Apple gibt keine Zusicherungen hinsichtlich der Genauigkeit oder Zuverlässigkeit von Websites Dritter ab. Wenden Sie sich für weitere Informationen an den jeweiligen Anbieter.
Veröffentlichungsdatum: Juli 21, 2021