Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-новите издания са налични на страницата на Apple с актуализации на защитата.
Документите за защитата на Apple правят препратки към различните уязвимости според техния CVE идентификатор, когато е това е възможно.
За повече информация относно защитата вж. страницата Защита на продуктите на Apple.
watchOS 6
Дата на издаване: 19 септември 2019 г.
Аудио
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на аудио файл, генериран със злонамерени средства, може да доведе до спонтанно изпълнение на код
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на състоянията.
CVE-2019-8706: Yu Zhou от Ant-financial Light-Year Security Lab
Дата на добавяне на записа: 29 октомври 2019 г.
Аудио
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на аудио файл, генериран със злонамерени средства, може да направи видима ограничената памет
Описание: Коригиран е проблем с неупълномощено четене чрез подобрена проверка на входящите данни.
CVE-2019-8850: Анонимен, работещ с Trend Micro Zero Day Initiative
Дата на добавяне на записа: 4 декември 2019 г.
CFNetwork
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на онлайн съдържание, генерирано със злонамерени средства, може да доведе до атака със скрипт от различен сайт
Описание: Проблемът е коригиран с помощта на подобрени проверки.
CVE-2019-8753: Łukasz Pilorz от Standard Chartered GBS Poland
Дата на добавяне на записа: 29 октомври 2019 г.
CoreAudio
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на видеоклип, генериран със злонамерени средства, може да направи видима процесната памет
Описание: Коригиран е проблем с повреждане на паметта чрез подобряване на проверката.
CVE-2019-8705: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative
Дата на добавяне на записа: 8 октомври 2019 г.
CoreCrypto
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на голямо количество входящи данни може да доведе до отказ на услугата
Описание: Коригиран е проблем с отказ на услугата чрез подобрена проверка на входящите данни.
CVE-2019-8741: Nicky Mouha от NIST
Дата на добавяне на записа: 29 октомври 2019 г.
Foundation
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Отдалечен атакуващ може да причини неочаквано прекратяване на приложение или спонтанно изпълнение на код
Описание: Коригиран е проблем с неупълномощено четене чрез подобрена проверка на входящите данни.
CVE-2019-8746: Natalie Silvanovich и Samuel Groß от Google Project Zero
Дата на актуализиране на записа: 29 октомври 2019 г., актуализиран на 11 февруари 2020 г.
IOUSBDeviceFamily
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8718: Joshua Hill и Sem Voigtländer
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригирана е уязвимост, водеща до повреждане на паметта, чрез подобрено заключване.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Локално приложение може да чете постоянен идентификатор за акаунт
Описание: Проблем с проверката е коригиран с помощта на подобрен логически процес.
CVE-2019-8809: Apple
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код със системни привилегии
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Възможно е злонамерено приложение да може да определи оформлението на паметта на ядрото
Описание: Съществувал е проблем с повреждане на паметта при обработката на IPv6 пакети. Проблемът е коригиран чрез подобрено управление на паметта.
CVE-2019-8744: Zhuo Liang от Qihoo 360 Vulcan Team
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на състоянията.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код с привилегии за ядро
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8717: Jann Horn от Google Project Zero
Дата на добавяне на записа: 8 октомври 2019 г.
libxml2
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Множество проблеми с libxml2
Описание: Коригирани са няколко проблема с повреждане на паметта чрез подобрена проверка на входящите данни.
CVE-2019-8749: открито от OSS-Fuzz
CVE-2019-8756: открито от OSS-Fuzz
Дата на добавяне на записа: 8 октомври 2019 г.
mDNSResponder
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Намиращ се физически наблизо атакуващ може да наблюдава пасивно имена на устройства в комуникациите на AWDL
Описание: Проблемът е решен чрез заменяне на имената на устройствата със случаен идентификатор.
CVE-2019-8799: David Kreitschmann и Milan Stute от Secure Mobile Networking Lab в Technische Universität Darmstadt
Дата на добавяне на записа: 29 октомври 2019 г.
UIFoundation
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на текстов файл, генериран със злонамерени средства, може да доведе до спонтанно изпълнение на код
Описание: Коригирано е препълване на буфера за данни с помощта на подобрена проверка на ограниченията.
CVE-2019-8745: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative
Дата на добавяне на записа: 8 октомври 2019 г.
UIFoundation
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Приложение може да изпълни случаен код със системни привилегии
Описание: Коригиран е проблем с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8831: riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative
Дата на добавяне на записа: 18 ноември 2019 г.
WebKit
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Притежаването на онлайн съдържание, генерирано със злонамерени средства, може да доведе до спонтанно изпълнение на код
Описание: Коригирани са няколко проблема с повреждане на паметта чрез подобрено управление на паметта.
CVE-2019-8710: открито от OSS-Fuzz
CVE-2019-8728: Junho Jang от LINE Security Team и Hanul Choi от ABLY Corporation
CVE-2019-8734: открито от OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao, работещ с ADLab от Venustech
CVE-2019-8752: Dongzhuo Zhao, работещ с ADLab от Venustech
CVE-2019-8773: открито от OSS-Fuzz
Дата на добавяне на записа: 29 октомври 2019 г.
Wi-Fi
Налично за: Apple Watch Series 3 и по-нови версии
Въздействие: Възможно е пасивно проследяване на устройство чрез неговия Wi-Fi MAC адрес
Описание: Коригиран е проблем с поверителността на потребителя чрез премахване на излъчвания MAC адрес.
CVE-2019-8854: Ta-Lun Yen от UCCU Hacker и FuriousMacTeam от United States Naval Academy и Mitre Cooperation
Дата на добавяне на записа: 4 декември 2019 г.
Допълнителни благодарности
Аудио
Бихме искали да благодарим на riusksk от VulWar Corp, работещ с Trend Micro's Zero Day Initiative, за оказаното съдействие.
Дата на добавяне на записа: 29 октомври 2019 г.
boringssl
Бихме искали да благодарим на Thijs Alkemade (@xnyhps) от Computest за оказаното съдействие.
Дата на добавяне на записа: 8 октомври 2019 г.
HomeKit
Бихме искали да благодарим на Tian Zhang за оказаното съдействие.
Дата на добавяне на записа: 29 октомври 2019 г.
Ядро
Бихме искали да благодарим на Brandon Azad от Google Project Zero за оказаното съдействие.
Дата на добавяне на записа: 29 октомври 2019 г.
mDNSResponder
Бихме искали да благодарим на Gregor Lang от e.solutions GmbH за оказаното съдействие.
Дата на добавяне на записа: 29 октомври 2019 г.
Профили
Бихме искали да благодарим на Erik Johnson от Vernon Hills High School, James Seeley (@Code4iOS) от Shriver Job Corps за оказаното съдействие.
Дата на добавяне на записа: 29 октомври 2019 г.
Safari
Бихме искали да благодарим на Yiğit Can YILMAZ (@yilmazcanyigit) за оказаното съдействие.
Записът е добавен на 29 октомври 2019 г. и актуализиран на 4 април 2020 г.
WebKit
Бихме искали да благодарим на MinJeong Kim от Information Security Lab, Chungnam National University, JaeCheol Ryou от Information Security Lab, Chungnam National University в Южна Корея, cc, работещ с Trend Micro's Zero Day Initiative, за оказаното съдействие.
Дата на добавяне на записа: 29 октомври 2019 г.