Относно съдържанието за защита на watchOS 6

Този документ описва съдържанието за защита на watchOS 6.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-новите издания са налични на страницата на Apple с актуализации на защитата.

Документите за защитата на Apple правят препратки към различните уязвимости според техния CVE идентификатор, когато е това е възможно.

За повече информация относно защитата вж. страницата Защита на продуктите на Apple.

watchOS 6

Аудио

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на аудио файл, генериран със злонамерени средства, може да доведе до спонтанно изпълнение на код

Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на състоянията.

CVE-2019-8706: Yu Zhou от Ant-financial Light-Year Security Lab

Аудио

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на аудио файл, генериран със злонамерени средства, може да направи видима ограничената памет

Описание: Коригиран е проблем с неупълномощено четене чрез подобрена проверка на входящите данни.

CVE-2019-8850: Анонимен, работещ с Trend Micro Zero Day Initiative

CFNetwork

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на онлайн съдържание, генерирано със злонамерени средства, може да доведе до атака със скрипт от различен сайт

Описание: Проблемът е коригиран с помощта на подобрени проверки.

CVE-2019-8753: Łukasz Pilorz от Standard Chartered GBS Poland

CoreAudio

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на видеоклип, генериран със злонамерени средства, може да направи видима процесната памет

Описание: Коригиран е проблем с повреждане на паметта чрез подобряване на проверката.

CVE-2019-8705: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative

CoreCrypto

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на голямо количество входящи данни може да доведе до отказ на услугата

Описание: Коригиран е проблем с отказ на услугата чрез подобрена проверка на входящите данни.

CVE-2019-8741: Nicky Mouha от NIST

Foundation

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Отдалечен атакуващ може да причини неочаквано прекратяване на приложение или спонтанно изпълнение на код

Описание: Коригиран е проблем с неупълномощено четене чрез подобрена проверка на входящите данни.

CVE-2019-8746: Natalie Silvanovich и Samuel Groß от Google Project Zero

IOUSBDeviceFamily

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Приложение може да изпълни случаен код с привилегии за ядро

Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.

CVE-2019-8718: Joshua Hill и Sem Voigtländer

Ядро

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Приложение може да изпълни случаен код с привилегии за ядро

Описание: Коригирана е уязвимост, водеща до повреждане на паметта, чрез подобрено заключване.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Ядро

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Локално приложение може да чете постоянен идентификатор за акаунт

Описание: Проблем с проверката е коригиран с помощта на подобрен логически процес.

CVE-2019-8809: Apple

Ядро

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Приложение може да изпълни случаен код със системни привилегии

Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Ядро

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Възможно е злонамерено приложение да може да определи оформлението на паметта на ядрото

Описание: Съществувал е проблем с повреждане на паметта при обработката на IPv6 пакети. Проблемът е коригиран чрез подобрено управление на паметта.

CVE-2019-8744: Zhuo Liang от Qihoo 360 Vulcan Team

Ядро

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Приложение може да изпълни случаен код с привилегии за ядро

Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на състоянията.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Ядро

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Приложение може да изпълни случаен код с привилегии за ядро

Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.

CVE-2019-8717: Jann Horn от Google Project Zero

libxml2

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Множество проблеми с libxml2

Описание: Коригирани са няколко проблема с повреждане на паметта чрез подобрена проверка на входящите данни.

CVE-2019-8749: открито от OSS-Fuzz

CVE-2019-8756: открито от OSS-Fuzz

mDNSResponder

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Намиращ се физически наблизо атакуващ може да наблюдава пасивно имена на устройства в комуникациите на AWDL

Описание: Проблемът е решен чрез заменяне на имената на устройствата със случаен идентификатор.

CVE-2019-8799: David Kreitschmann и Milan Stute от Secure Mobile Networking Lab в Technische Universität Darmstadt

UIFoundation

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на текстов файл, генериран със злонамерени средства, може да доведе до спонтанно изпълнение на код

Описание: Коригирано е препълване на буфера за данни с помощта на подобрена проверка на ограниченията.

CVE-2019-8745: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative

UIFoundation

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Приложение може да изпълни случаен код със системни привилегии

Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.

CVE-2019-8831: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative

WebKit

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Притежаването на онлайн съдържание, генерирано със злонамерени средства, може да доведе до спонтанно изпълнение на код

Описание: Коригирани са няколко проблема с повреждане на паметта чрез подобрено управление на паметта.

CVE-2019-8710: открито от OSS-Fuzz

CVE-2019-8728: Junho Jang от LINE Security Team и Hanul Choi от ABLY Corporation

CVE-2019-8734: открито от OSS-Fuzz

CVE-2019-8751: Dongzhuo Zhao, работещ с ADLab от Venustech

CVE-2019-8752: Dongzhuo Zhao, работещ с ADLab от Venustech

CVE-2019-8773: открито от OSS-Fuzz

Wi-Fi

Налично за: Apple Watch Series 3 и по-нови версии

Въздействие: Възможно е пасивно проследяване на устройство чрез неговия Wi-Fi MAC адрес

Описание: Коригиран е проблем с поверителността на потребителя чрез премахване на излъчвания MAC адрес.

CVE-2019-8854: Ta-Lun Yen от UCCU Hacker и FuriousMacTeam от United States Naval Academy и Mitre Cooperation

Допълнителни благодарности

Аудио

Бихме искали да благодарим на riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative, за оказаното съдействие.

boringssl

Бихме искали да благодарим на Thijs Alkemade (@xnyhps) от Computest за оказаното съдействие.

HomeKit

Бихме искали да благодарим на Tian Zhang за оказаното съдействие.

Ядро

Бихме искали да благодарим на Brandon Azad от Google Project Zero за оказаното съдействие.

mDNSResponder

Бихме искали да благодарим на Gregor Lang от e.solutions GmbH за оказаното съдействие.

Профили

Бихме искали да благодарим на Erik Johnson от Vernon Hills High School, James Seeley (@Code4iOS) от Shriver Job Corps за оказаното съдействие.

Safari

Бихме искали да благодарим на Yiğit Can YILMAZ (@yilmazcanyigit) за оказаното съдействие.

WebKit

Бихме искали да благодарим на MinJeong Kim от Information Security Lab, Chungnam National University, JaeCheol Ryou от Information Security Lab, Chungnam National University в Южна Корея, cc, работещ с Trend Micro's Zero Day Initiative, за оказаното съдействие.