Относно съдържанието за защита на watchOS 6.1

Този документ описва съдържанието за защита на watchOS 6.1.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са описани в страницата Актуализации на защитата на Apple.

Документите за защита на Apple посочват уязвимостите от CVE-ID, когато това е възможно.

За повече информация относно защитата вж. страницата Защита на продуктите на Apple.

watchOS 6.1

Акаунти

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Отдалеченият хакер може да е в състояние да източи паметта

Описание: Четенето извън границите е разрешено чрез подобрено удостоверяване на входните данни.

CVE-2019-8787: Щефан Кли от лабораторията за защитена мобилна мрежа на Technische Universität Darmstadt

AirDrop

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Прехвърлянията в AirDrop може да бъдат приети неочаквано, докато сте в режим Everyone (Всички)

Описание: Логичният проблем е разрешен с подобрено удостоверяване.

CVE-2019-8796: Алисън Хюсеин от UC Berkeley

App Store

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Локален хакер може да бъде в състояние да влезе в акаунта на влязъл преди това потребител, без да има валидни идентификационни данни.

Описание: Проблемът с удостоверяването е разрешен с подобрено управление на състоянието.

CVE-2019-8803: Кийон Ан, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel

Описание: Уязвимостта на повреди в паметта е разрешена с подобрено заключване.

CVE-2019-8747: Мохамед Ганам (@_simo36)

Аудио

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8785: Иан Биър от Google Project Zero

CVE-2019-8797: 08Tc3wBB работи с SSD Secure Disclosure

Contacts

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Обработката на злонамерен контакт може да доведе до фишинг на ПИ

Описание: Проблем с непоследователния потребителски интерфейс е разрешен с подобрено управление на състоянието.

CVE-2017-7152: Оливър Паукщат от Thinking Objects GmbH (to.com)

Събития на файловата система

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Възможно е приложение да може да изпълни произволен код със системни привилегии

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8798: ABC Research s.r.o. работи с Trend Micro's Zero Day Initiative

Kernel

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Възможно е приложение да може да чете ограничена памет

Описание: Проблемът с удостоверяването е разрешен с подобрено почистване на входните данни.

CVE-2019-8794: 08Tc3wBB работи с SSD Secure Disclosure

Kernel

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel

Описание: Проблем с повреди в паметта е разрешен с подобрено управление на паметта.

CVE-2019-8786: Уен Шу от Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Възможно е приложение да може да изпълни произволен код с привилегии за Kernel

Описание: Уязвимостта на повреди в паметта е разрешена с подобрено заключване.

CVE-2019-8829: Ян Хорн от Google Project Zero

libxslt

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Множество проблеми в libxslt

Описание: Множество проблеми с повреди в паметта са разрешени с подобрено удостоверяване на входните данни.

CVE-2019-8750: открито от OSS-Fuzz

VoiceOver

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Лице, което има физически достъп до устройство с iOS, може да е в състояние до отвори контактите при заключен екран

Описание: Проблемът е разрешен чрез ограничаване на опциите, предлагани на заключено устройство.

CVE-2019-8775: videosdebarraquito

WebKit

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Обработката на злонамерено изградено уеб съдържание може да доведе до универсално писане на скриптове между различни сайтове

Описание: Логически проблем е разрешен чрез подобрено управление на състоянието.

CVE-2019-8764: Сергей Глазунов от Google Project Zero

WebKit

Налична за: Apple Watch Series 1 и по-нов модел

Въздействие: Обработката на злонамерено изработено уебсъдържание може да доведе до изпълнение на произволен код

Описание: Множество проблеми с повреди в паметта са разрешени с подобрено управление на паметта.

CVE-2019-8743: zhunki от Codesafe Team of Legendsec at Qi'anxin Group

CVE-2019-8765: Самуел Грос от Google Project Zero

CVE-2019-8766: открито от OSS-Fuzz

CVE-2019-8808: открито от OSS-Fuzz

CVE-2019-8811: Сойон Парк от SSLab в Georgia Tech

CVE-2019-8812: Джун Донг Шие от Ant-financial Light-Year Security Lab

CVE-2019-8816: Сойон Парк от SSLab в Georgia Tech

CVE-2019-8820: Самуел Грос от Google Project Zero

Допълнително признание

boringssl

Искаме да изразим признателността си към Нимрод Авирам от Tel Aviv University, Робърт Мергет от Ruhr University Bochum, Юрай Соморовски от Ruhr University Bochum за тяхното съдействие.

CFNetwork

Искаме да изразим признателността си към Лили Чен от Google за съдействието й.

Kernel

Искаме да изразим признателността си към Даниел Роетлисбергер от Swisscom CSIRT, Ян хорн от Google Project Zero за тяхното съдействие.

Safari

Искаме да изразим признателността си към Рон Съмърс, Роналд ван дер Меер за тяхното съдействие.

WebKit

Искаме да изразим признателността си към Джий Джан от Codesafe Team of Legendsec в Qi'anxin Group за тяхното съдействие.