Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са описани в страницата Актуализации на защитата на Apple.
Документите за защита на Apple посочват уязвимостите от CVE-ID, когато това е възможно.
За повече информация относно защитата вж. страницата Защита на продуктите на Apple.
watchOS 6.1
Издадена на 29 октомври 2019 г.
Акаунти
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Отдалеченият хакер може да е в състояние да източи паметта
Описание: Четенето извън границите е разрешено чрез подобрено удостоверяване на входните данни.
CVE-2019-8787: Щефан Кли от лабораторията за защитена мобилна мрежа на Technische Universität Darmstadt
AirDrop
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Прехвърлянията в AirDrop може да бъдат приети неочаквано, докато сте в режим Everyone (Всички)
Описание: Логичният проблем е разрешен с подобрено удостоверяване.
CVE-2019-8796: Алисън Хюсеин от UC Berkeley
Записът е актуализиран на 4 април 2020 г.
App Store
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Локален хакер може да бъде в състояние да влезе в акаунта на влязъл преди това потребител, без да има валидни идентификационни данни.
Описание: Проблемът с удостоверяването е разрешен с подобрено управление на състоянието.
CVE-2019-8803: Кийон Ан, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel
Описание: Уязвимостта на повреди в паметта е разрешена с подобрено заключване.
CVE-2019-8747: Мохамед Ганам (@_simo36)
Аудио
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8785: Иан Биър от Google Project Zero
CVE-2019-8797: 08Tc3wBB работи с SSD Secure Disclosure
Contacts
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Обработката на злонамерен контакт може да доведе до фишинг на ПИ
Описание: Проблем с непоследователния потребителски интерфейс е разрешен с подобрено управление на състоянието.
CVE-2017-7152: Оливър Паукщат от Thinking Objects GmbH (to.com)
Събития на файловата система
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8798: ABC Research s.r.o. работи с Trend Micro's Zero Day Initiative
Kernel
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Възможно е приложение да може да чете ограничена памет
Описание: Проблемът с удостоверяването е разрешен с подобрено почистване на входните данни.
CVE-2019-8794: 08Tc3wBB работи с SSD Secure Disclosure
Kernel
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel
Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.
CVE-2019-8786: Уен Шу от Georgia Tech, Microsoft Offensive Security Research Intern
Актуализирано на 18 ноември 2019 г.
Kernel
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel
Описание: Уязвимостта на повреди в паметта е разрешена с подобрено заключване.
CVE-2019-8829: Ян Хорн от Google Project Zero
Въведено на 8 ноември 2019 г.
libxslt
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Множество проблеми в libxslt
Описание: Множество проблеми с повреди в паметта са разрешени с подобрено удостоверяване на входните данни.
CVE-2019-8750: открито от OSS-Fuzz
VoiceOver
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Лице, което има физически достъп до устройство с iOS, може да е в състояние до отвори контактите при заключен екран
Описание: Проблемът е разрешен чрез ограничаване на опциите, предлагани на заключено устройство.
CVE-2019-8775: videosdebarraquito
WebKit
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Обработката на злонамерено изградено уеб съдържание може да доведе до универсално писане на скриптове между различни сайтове
Описание: Логически проблем е разрешен чрез подобрено управление на състоянието.
CVE-2019-8764: Сергей Глазунов от Google Project Zero
WebKit
Налична за: Apple Watch Series 1 и по-нов модел
Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до изпълнение на произволен код
Описание: Множество проблеми с повреди в паметта са разрешени с подобрено управление на паметта.
CVE-2019-8743: zhunki от Codesafe Team of Legendsec at Qi'anxin Group
CVE-2019-8765: Самуел Грос от Google Project Zero
CVE-2019-8766: открито от OSS-Fuzz
CVE-2019-8808: открито от OSS-Fuzz
CVE-2019-8811: Сойон Парк от SSLab в Georgia Tech
CVE-2019-8812: Джун Донг Шие от Ant-financial Light-Year Security Lab
CVE-2019-8816: Сойон Парк от SSLab в Georgia Tech
CVE-2019-8820: Самуел Грос от Google Project Zero
Актуализирано на 18 ноември 2019 г.
Допълнително признание
boringssl
Искаме да изразим признателността си към Нимрод Авирам от Tel Aviv University, Робърт Мергет от Ruhr University Bochum, Юрай Соморовски от Ruhr University Bochum за тяхното съдействие.
CFNetwork
Искаме да изразим признателността си към Лили Чен от Google за съдействието й.
Kernel
Искаме да изразим признателността си към Даниел Роетлисбергер от Swisscom CSIRT, Ян хорн от Google Project Zero за тяхното съдействие.
Актуализирано на 8 ноември 2019 г.
Safari
Искаме да изразим признателността си към Рон Съмърс, Роналд ван дер Меер за тяхното съдействие.
Записът е актуализиран на 11 февруари 2020 г.
WebKit
Искаме да изразим признателността си към Джий Джан от Codesafe Team of Legendsec в Qi'anxin Group за тяхното съдействие.