Относно съдържанието за защита на watchOS 6.1.1

Този документ описва съдържанието за защита на watchOS 6.1.1.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са посочени на страницата Актуализации на защитата на Apple.

Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.

За повече информация относно защитата вж. страницата Защита на продуктите на Apple.

watchOS 6.1.1

CallKit

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обажданията, извършени чрез Siri, може да бъдат инициирани с грешен мобилен план на устройства с два активни плана

Описание: Съществуваше проблем с API при обработката на изходящи телефонни обаждания, инициирани със Siri. Този проблем беше разрешен с подобрено управление на състоянието.

CVE-2019-8856: Фабрис Теранкъл от TERRANCLE SARL

CFNetwork

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Даден хакер в привилегирована позиция на мрежата може да бъде в състояние да заобиколи HSTS за ограничен брой конкретни домейни от най-високо ниво, които по-рано не са били в списъка за предварително зареждане на HSTS

Описание: Проблем с конфигурацията беше разрешен с допълнителни ограничения.

CVE-2019-8834: Роб Сайър (@sayrer)

Прокси сървъри на CFNetwork

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да получи повишени привилегии

Описание: Този проблем беше решен с подобрени проверки.

CVE-2019-8848: Джуо Лян от Qihoo 360 Vulcan Team

FaceTime

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обработката на злонамерен видеоклип чрез FaceTime може да доведе до произволно изпълнение на код

Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.

CVE-2019-8830: natashenka от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблемът с повредата в паметта беше решен чрез премахване на уязвимия код.

CVE-2019-8833: Иън Биър от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.

CVE-2019-8828: Сим Стордал от Cognite

CVE-2019-8838: Д-р Силвио Цезаре от InfoSect

libexpat

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Анализирането на злонамерено създаден XML файл може да доведе до разкриване на потребителска информация

Описание: Този проблем беше решен чрез актуализиране до версия 2.2.8 на expat.

CVE-2019-15903: Джонун Джанг

libpcap

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Множество проблеми в libpcap

Описание: Множество проблеми бяха решени чрез актуализиране до версия 1.9.1 на libpcap

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Защита

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Приложение може да изпълни произволен код със системни привилегии

Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.

CVE-2019-8832: Инсу Юн от SSLab at Georgia Tech

WebKit

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код

Описание: Няколко проблема с повреда на паметта бяха разрешени с подобрена обработка на памет.

CVE-2019-8844: Уилям Боулинг (@wcbowling)

Допълнителни признания

Акаунти

Бихме искали да изразим благодарност към Алисън Хусейн от UC Berkeley, Кишан Багария (KishanBagaria.com) и Том Снелинг от Loughborough University за съдействието им.

Основни данни

Бихме искали да изразим благодарност към natashenka от Google Project Zero за проявеното съдействие.