Относно съдържанието за защита на watchOS 6.1.1
Този документ описва съдържанието за защита на watchOS 6.1.1.
Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са посочени на страницата Актуализации на защитата на Apple.
Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.
За повече информация относно защитата вж. страницата Защита на продуктите на Apple.
watchOS 6.1.1
CallKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Обажданията, извършени чрез Siri, може да бъдат инициирани с грешен мобилен план на устройства с два активни плана
Описание: Съществуваше проблем с API при обработката на изходящи телефонни обаждания, инициирани със Siri. Този проблем беше разрешен с подобрено управление на състоянието.
CVE-2019-8856: Фабрис Теранкъл от TERRANCLE SARL
CFNetwork
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Даден хакер в привилегирована позиция на мрежата може да бъде в състояние да заобиколи HSTS за ограничен брой конкретни домейни от най-високо ниво, които по-рано не са били в списъка за предварително зареждане на HSTS
Описание: Проблем с конфигурацията беше разрешен с допълнителни ограничения.
CVE-2019-8834: Роб Сайър (@sayrer)
Прокси сървъри на CFNetwork
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да получи повишени привилегии
Описание: Този проблем беше решен с подобрени проверки.
CVE-2019-8848: Джуо Лян от Qihoo 360 Vulcan Team
FaceTime
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Обработката на злонамерен видеоклип чрез FaceTime може да доведе до произволно изпълнение на код
Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.
CVE-2019-8830: natashenka от Google Project Zero
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблемът с повредата в паметта беше решен чрез премахване на уязвимия код.
CVE-2019-8833: Иън Биър от Google Project Zero
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.
CVE-2019-8828: Сим Стордал от Cognite
CVE-2019-8838: Д-р Силвио Цезаре от InfoSect
libexpat
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Анализирането на злонамерено създаден XML файл може да доведе до разкриване на потребителска информация
Описание: Този проблем беше решен чрез актуализиране до версия 2.2.8 на expat.
CVE-2019-15903: Джонун Джанг
libpcap
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Множество проблеми в libpcap
Описание: Множество проблеми бяха решени чрез актуализиране до версия 1.9.1 на libpcap
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Защита
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Приложение може да изпълни произволен код със системни привилегии
Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.
CVE-2019-8832: Инсу Юн от SSLab at Georgia Tech
WebKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код
Описание: Няколко проблема с повреда на паметта бяха разрешени с подобрена обработка на памет.
CVE-2019-8844: Уилям Боулинг (@wcbowling)
Допълнителни признания
Акаунти
Бихме искали да изразим благодарност към Алисън Хусейн от UC Berkeley, Кишан Багария (KishanBagaria.com) и Том Снелинг от Loughborough University за съдействието им.
Основни данни
Бихме искали да изразим благодарност към natashenka от Google Project Zero за проявеното съдействие.
Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.