Относно съдържанието за защита на watchOS 6
Този документ описва съдържанието за защита на watchOS 6.
Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-новите издания са налични на страницата на Apple с актуализации на защитата.
Документите за защитата на Apple правят препратки към различните уязвимости според техния CVE идентификатор, когато е това е възможно.
За повече информация относно защитата вж. страницата Защита на продуктите на Apple.
watchOS 6
Аудио
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на аудио файл, генериран със злонамерени средства, може да доведе до спонтанно изпълнение на код
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на състоянията.
CVE-2019-8706: Yu Zhou от Ant-financial Light-Year Security Lab
Аудио
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на аудио файл, генериран със злонамерени средства, може да направи видима ограничената памет
Описание: Коригиран е проблем с неупълномощено четене чрез подобрена проверка на входящите данни.
CVE-2019-8850: Анонимен, работещ с Trend Micro Zero Day Initiative
CFNetwork
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на онлайн съдържание, генерирано със злонамерени средства, може да доведе до атака със скрипт от различен сайт
Описание: Проблемът е коригиран с помощта на подобрени проверки.
CVE-2019-8753: Łukasz Pilorz от Standard Chartered GBS Poland
CoreAudio
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на видеоклип, генериран със злонамерени средства, може да направи видима процесната памет
Описание: Коригиран е проблем с повреждане на паметта чрез подобряване на проверката.
CVE-2019-8705: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative
CoreCrypto
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на голямо количество входящи данни може да доведе до отказ на услугата
Описание: Коригиран е проблем с отказ на услугата чрез подобрена проверка на входящите данни.
CVE-2019-8741: Nicky Mouha от NIST
Foundation
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Отдалечен атакуващ може да причини неочаквано прекратяване на приложение или спонтанно изпълнение на код
Описание: Коригиран е проблем с неупълномощено четене чрез подобрена проверка на входящите данни.
CVE-2019-8746: Natalie Silvanovich и Samuel Groß от Google Project Zero
IOUSBDeviceFamily
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8718: Joshua Hill и Sem Voigtländer
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригирана е уязвимост, водеща до повреждане на паметта, чрез подобрено заключване.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Локално приложение може да чете постоянен идентификатор за акаунт
Описание: Проблем с проверката е коригиран с помощта на подобрен логически процес.
CVE-2019-8809: Apple
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код със системни привилегии
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Възможно е злонамерено приложение да може да определи оформлението на паметта на ядрото
Описание: Съществувал е проблем с повреждане на паметта при обработката на IPv6 пакети. Проблемът е коригиран чрез подобрено управление на паметта.
CVE-2019-8744: Zhuo Liang от Qihoo 360 Vulcan Team
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на състоянията.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8717: Jann Horn от Google Project Zero
libxml2
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Множество проблеми с libxml2
Описание: Коригирани са няколко проблема с повреждане на паметта чрез подобрена проверка на входящите данни.
CVE-2019-8749: открито от OSS-Fuzz
CVE-2019-8756: открито от OSS-Fuzz
mDNSResponder
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Намиращ се физически наблизо атакуващ може да наблюдава пасивно имена на устройства в комуникациите на AWDL
Описание: Проблемът е решен чрез заменяне на имената на устройствата със случаен идентификатор.
CVE-2019-8799: David Kreitschmann и Milan Stute от Secure Mobile Networking Lab в Technische Universität Darmstadt
UIFoundation
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на текстов файл, генериран със злонамерени средства, може да доведе до спонтанно изпълнение на код
Описание: Коригирано е препълване на буфера за данни с помощта на подобрена проверка на ограниченията.
CVE-2019-8745: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative
UIFoundation
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код със системни привилегии
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8831: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative
WebKit
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на онлайн съдържание, генерирано със злонамерени средства, може да доведе до спонтанно изпълнение на код
Описание: Коригирани са няколко проблема с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8710: открито от OSS-Fuzz
CVE-2019-8728: Junho Jang от LINE Security Team и Hanul Choi от ABLY Corporation
CVE-2019-8734: открито от OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao, работещ с ADLab от Venustech
CVE-2019-8752: Dongzhuo Zhao, работещ с ADLab от Venustech
CVE-2019-8773: открито от OSS-Fuzz
Wi-Fi
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Възможно е пасивно проследяване на устройство чрез неговия Wi-Fi MAC адрес
Описание: Коригиран е проблем с поверителността на потребителя чрез премахване на излъчвания MAC адрес.
CVE-2019-8854: Ta-Lun Yen от UCCU Hacker и FuriousMacTeam от United States Naval Academy и Mitre Cooperation
Допълнителни благодарности
Аудио
Бихме искали да благодарим на riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative, за оказаното съдействие.
boringssl
Бихме искали да благодарим на Thijs Alkemade (@xnyhps) от Computest за оказаното съдействие.
HomeKit
Бихме искали да благодарим на Tian Zhang за оказаното съдействие.
Ядро
Бихме искали да благодарим на Brandon Azad от Google Project Zero за оказаното съдействие.
mDNSResponder
Бихме искали да благодарим на Gregor Lang от e.solutions GmbH за оказаното съдействие.
Профили
Бихме искали да благодарим на Erik Johnson от Vernon Hills High School, James Seeley (@Code4iOS) от Shriver Job Corps за оказаното съдействие.
Safari
Бихме искали да благодарим на Yiğit Can YILMAZ (@yilmazcanyigit) за оказаното съдействие.
WebKit
Бихме искали да благодарим на MinJeong Kim от Information Security Lab, Chungnam National University, JaeCheol Ryou от Information Security Lab, Chungnam National University в Южна Корея, cc, работещ с Trend Micro's Zero Day Initiative, за оказаното съдействие.
Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.