Относно съдържанието за защита на watchOS 6.1.2

Този документ описва съдържанието за защита на watchOS 6.1.2.

Относно актуализациите на защитата на Apple

С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Скорошните издания са изброени на страницата Актуализации на защитата на Apple.

Документите за защита на Apple посочват уязвимостите според CVE-ID, когато това е възможно.

За повече информация относно защитата вижте страницата Защита на продуктите на Apple.

watchOS 6.1.2

Издадено на 28 януари 2020 г.

AnnotationKit

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Хакер от разстояние би могъл да предизвика неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.

CVE-2020-3877: анонимен изследовател, работещ със Zero Day Initiative на Trend Micro

Аудио

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код със системни привилегии

Описание: Проблем с повреди на паметта беше разрешен с подобрена обработка на памет.

CVE-2020-3857: Zhuo Liang от Qihoo 360 Vulcan Team

ImageIO

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обработката на злонамерено изградено изображение може да доведе до произволно изпълнение на код

Описание: Четенето извън границите беше разрешено с подобрена проверка на входящи данни.

CVE-2020-3826: Samuel Groß от Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß от Google Project Zero

CVE-2020-3880: Samuel Groß от Google Project Zero

Записът е актуализиран на 4 април 2020 г.

IOAcceleratorFamily

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреди на паметта беше разрешен с подобрена обработка на памет.

CVE-2020-3837: Brandon Azad от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да чете памет с ограничен достъп

Описание: Проблем с проверката беше разрешен с подобрено почистване на входящи данни.

CVE-2020-3875: Brandon Azad от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Злонамерено приложение би могло да определи оформлението на паметта на ядрото

Описание: Проблем с достъпа беше разрешен с подобрено управление на памет.

CVE-2020-3836: Brandon Azad от Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да чете памет с ограничен достъп

Описание: Проблем с инициализиране на паметта беше разрешен с подобрена обработка на памет.

CVE-2020-3872: Haakon Garseg Mørk от Cognite и Cim Stordal от Cognite

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреди на паметта беше разрешен с подобрена обработка на памет.

CVE-2020-3842: Ned Williamson, работещ с Google Project Zero

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреди на паметта беше разрешен с подобрено управление на състояние.

CVE-2020-3834: Xiaolong Bai и Min (Spark) Zheng от Alibaba Inc, Luyi Xing от Indiana University Bloomington

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код с привилегии на ядрото

Описание: Проблем с повреди на паметта беше разрешен с подобрена проверка на входящи данни.

CVE-2020-3860: Proteas от Qihoo 360 Nirvan Team

Ядро

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Злонамерено приложение би могло да предизвика произволно изпълнение на код със системни привилегии

Описание: Проблем с объркване на тип беше разрешен с подобрена обработка на памет.

CVE-2020-3853: Brandon Azad от Google Project Zero

libxml2

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Обработката на злонамерено изграден XML може да доведе до неочаквано прекратяване на приложение или произволно изпълнение на код

Описание: Препълването на буфера беше разрешено с подобрена проверка на размера.

CVE-2020-3846: Ranier Vilela

Записът е добавен на 29 януари 2020 г.

libxpc

Налично за: Apple Watch Series 1 и по-нови модели

Описание: Обработката на злонамерено изграден низ може да доведе до повреда в свободната памет

Описание: Проблем с повреди на паметта беше разрешен с подобрена проверка на входящи данни.

CVE-2020-3856: Ian Beer от Google Project Zero

libxpc

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да получи повишени привилегии

Описание: Четенето извън границите беше разрешено с подобрено проверяване на границите.

CVE-2020-3829: Ian Beer от Google Project Zero

wifivelocityd

Налично за: Apple Watch Series 1 и по-нови модели

Въздействие: Дадено приложение би могло да предизвика произволно изпълнение на код със системни привилегии

Описание: Проблемът беше разрешен с подобрена логика за разрешения.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Допълнително признание

IOSurface

Бихме желали да благодарим на Liang Chen (@chenliang0817) за съдействието.

Информацията за продукти, които не са произведени от Apple, или независими уебсайтове, които не са контролирани или тествани от Apple, се предоставя без препоръка или одобрение. Apple не поема никаква отговорност по отношение на подбора, производителността или използването на уебсайтове или продукти на трети страни. Apple не представя никакви становища относно точността или надеждността на уебсайтове на трети страни. Свържете се с доставчика за допълнителна информация.

Дата на публикуване: