Относно съдържанието за защита на watchOS 6.1.1

Този документ описва съдържанието за защита на watchOS 6.1.1.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са посочени на страницата Актуализации на защитата на Apple.

Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.

За повече информация относно защитата вж. страницата Защита на продуктите на Apple.

watchOS 6.1.1

Дата на издаване: 10 декември 2019 г.

CallKit

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обажданията, извършени чрез Siri, може да бъдат инициирани с грешен мобилен план на устройства с два активни плана

Описание: Съществуваше проблем с API при обработката на изходящи телефонни обаждания, инициирани със Siri. Този проблем беше разрешен с подобрено управление на състоянието.

CVE-2019-8856: Фабрис Теранкъл от TERRANCLE SARL

CFNetwork

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Даден хакер в привилегирована позиция на мрежата може да бъде в състояние да заобиколи HSTS за ограничен брой конкретни домейни от най-високо ниво, които по-рано не са били в списъка за предварително зареждане на HSTS

Описание: Проблем с конфигурацията беше разрешен с допълнителни ограничения.

CVE-2019-8834: Роб Сайър (@sayrer)

Записът е добавен на 3 февруари 2020 г.

Прокси сървъри на CFNetwork

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да получи повишени привилегии

Описание: Този проблем беше решен с подобрени проверки.

CVE-2019-8848: Джуо Лян от Qihoo 360 Vulcan Team

FaceTime

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обработката на злонамерен видеоклип чрез FaceTime може да доведе до произволно изпълнение на код

Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.

CVE-2019-8830: natashenka от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблемът с повредата в паметта беше решен чрез премахване на уязвимия код.

CVE-2019-8833: Иън Биър от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.

CVE-2019-8828: Сим Стордал от Cognite

CVE-2019-8838: Д-р Силвио Цезаре от InfoSect

libexpat

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Анализирането на злонамерено създаден XML файл може да доведе до разкриване на потребителска информация

Описание: Този проблем беше решен чрез актуализиране до версия 2.2.8 на expat.

CVE-2019-15903: Джонун Джанг

libpcap

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Множество проблеми в libpcap

Описание: Множество проблеми бяха решени чрез актуализиране до версия 1.9.1 на libpcap

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Записът е добавен на 4 април 2020 г.

Защита

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Приложение може да изпълни произволен код със системни привилегии

Описание: Проблем с повреда на паметта беше решен с подобрена обработка на паметта.

CVE-2019-8832: Инсу Юн от SSLab at Georgia Tech

WebKit

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обработка на злонамерено изградено уеб съдържание може да доведе до изпълнение на произволен код

Описание: Няколко проблема с повреда на паметта бяха разрешени с подобрена обработка на памет.

CVE-2019-8844: Уилям Боулинг (@wcbowling)

Допълнителни признания

Акаунти

Бихме искали да изразим благодарност към Алисън Хусейн от UC Berkeley, Кишан Багария (KishanBagaria.com) и Том Снелинг от Loughborough University за съдействието им.

Записът е актуализиран на 4 април 2020 г.

Основни данни

Бихме искали да изразим благодарност към natashenka от Google Project Zero за проявеното съдействие.

Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.

Дата на публикуване: