Относно съдържанието за защита на watchOS 6.1.2
Този документ описва съдържанието за защита на watchOS 6.1.2.
Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Скорошните издания са изброени на страницата Актуализации на защитата на Apple.
Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.
За повече информация относно защитата вижте страницата Защита на продуктите на Apple.
watchOS 6.1.2
AnnotationKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Хакер от разстояние би могъл да предизвика неочаквано прекратяване на приложение или произволно изпълнение на код
Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.
CVE-2020-3877: анонимен изследовател, работещ със Zero Day Initiative на Trend Micro
Аудио
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код със системни привилегии
Описание: Проблем с повреди на паметта беше разрешен с подобрена обработка на памет.
CVE-2020-3857: Zhuo Liang от Qihoo 360 Vulcan Team
ImageIO
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Обработката на злонамерено изградено изображение може да доведе до произволно изпълнение на код
Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.
CVE-2020-3826: Samuel Groß от Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß от Google Project Zero
CVE-2020-3880: Samuel Groß от Google Project Zero
IOAcceleratorFamily
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблем с повреди на паметта беше разрешен с подобрена обработка на памет.
CVE-2020-3837: Brandon Azad от Google Project Zero
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да чете памет с ограничен достъп
Описание: Проблем с проверката беше разрешен с подобрено почистване на входящи данни.
CVE-2020-3875: Brandon Azad от Google Project Zero
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Злонамерено приложение би могло да определи оформлението на паметта на ядрото
Описание: Проблем с достъпа беше разрешен с подобрено управление на памет.
CVE-2020-3836: Brandon Azad от Google Project Zero
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да чете памет с ограничен достъп
Описание: Проблем с инициализиране на паметта беше разрешен с подобрена обработка на памет.
CVE-2020-3872: Haakon Garseg Mørk от Cognite и Cim Stordal от Cognite
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблем с повреди на паметта беше разрешен с подобрена обработка на памет.
CVE-2020-3842: Ned Williamson, работещ с Google Project Zero
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблем с повреди на паметта беше разрешен с подобрено управление на състояние.
CVE-2020-3834: Xiaolong Bai и Min (Spark) Zheng от Alibaba Inc, Luyi Xing от Indiana University Bloomington
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото
Описание: Проблем с повреди на паметта беше разрешен с подобрена проверка на входящи данни.
CVE-2020-3860: Proteas от Qihoo 360 Nirvan Team
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Злонамерено приложение би могло да предизвика произволно изпълнение на код със системни привилегии
Описание: Проблем с объркване на тип беше разрешен с подобрена обработка на памет.
CVE-2020-3853: Brandon Azad от Google Project Zero
libxml2
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Обработката на злонамерено изграден XML може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код
Описание: Препълването на буфера беше разрешено с подобрена проверка на размера.
CVE-2020-3846: Ranier Vilela
libxpc
Налично за: Apple Watch Series 1 и по-нови модели
Описание: Обработката на злонамерено изграден низ може да доведе до повреда в свободната памет
Описание: Проблем с повреди на паметта беше разрешен с подобрена проверка на входящи данни.
CVE-2020-3856: Ian Beer от Google Project Zero
libxpc
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да получи повишени привилегии
Описание: Четенето извън границите беше разрешено с подобрено проверяване на границите.
CVE-2020-3829: Ian Beer от Google Project Zero
wifivelocityd
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код със системни привилегии
Описание: Проблемът беше разрешен с подобрена логика за разрешения.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Допълнително признание
IOSurface
Бихме желали да благодарим на Liang Chen (@chenliang0817) за съдействието.
Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.