Относно актуализациите на защитата на Apple
С цел защита на нашите клиенти Apple не разкрива, не обсъжда и не потвърждава проблеми със защитата преди провеждането на разследване и издаването на необходими корекции или допълнителни издания към софтуера. Най-скорошните издания са посочени на страницата Актуализации на защитата на Apple.
Документите за защита на Apple описват уязвимостите според CVE-ID, когато това е възможно.
За повече информация относно защитата вж. страницата Защита на продуктите на Apple.
watchOS 6.2
Издадено на 24 март 2020 г.
ActionKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е приложението да използва SSH клиент, предоставен от частни рамки
Описание: Този проблем беше разрешен с ново правомощие.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е приложението да използва произволни правомощия
Описание: Този проблем беше разрешен с подобрени проверки.
CVE-2020-3883: Linus Henze (pinauten.de)
CoreFoundation
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е злонамерено приложение да увеличи правомощията
Описание: Съществува проблем с разрешенията. Този проблем беше разрешен с подобрено потвърждаване на разрешението.
CVE-2020-3913: Timo Christ от Avira Operations GmbH & Co. KG
Икони
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е злонамерено приложение да идентифицира кои други приложения е инсталирал потребителят
Описание: Проблемът беше разрешен с подобрено обработване на кеширането на иконите.
CVE-2020-9773: Chilik Tamir от Zimperium zLabs
Икони
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е настройването на алтернативна икона на приложение да разкрие снимка, без да е необходимо разрешение за достъп до снимки
Описание: Проблемът с достъпа беше разрешен с допълнителни ограничения.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Обработка на изображения
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е приложение да изпълни произволен код със системни правомощия
Описание: Проблем с употребата след освобождаване беше разрешена с подобрено управление на паметта.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е злонамерено приложение да изпълни произволен код с правомощия на ядрото
Описание: Проблемът с инициализацията на паметта беше разрешен с подобрено обработване на паметта.
CVE-2020-3919: анонимен изследовател
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е приложението да прочита памет с ограничен достъп
Описание: Проблемът с инициализацията на паметта беше разрешен с подобрено обработване на паметта.
CVE-2020-3914: pattern-f (@pattern_F_) от WaCai
Ядро
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е злонамерено приложение да изпълни произволен код с правомощия на ядрото
Описание: Няколко проблема с повреди в паметта бяха разрешени с подобрено управление на състоянието.
CVE-2020-9785: Proteas от Qihoo 360 Nirvan Team
libxml2
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Множество проблеми в libxml2
Описание: Претоварването на буфера беше разрешено с подобрена проверка на границите.
CVE-2020-3909: LGTM.com
CVE-2020-3911: открит от OSS-Fuzz
libxml2
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Множество проблеми в libxml2
Описание: Претоварването на буфера беше разрешено с подобрена проверка на размера.
CVE-2020-3910: LGTM.com
Messages
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е лице с физически достъп до заключено устройство с iOS да отговаря на съобщения дори когато отговорът е дезактивиран
Описание: Логическият проблем беше разрешен с подобрено управление на състоянието.
CVE-2020-3891: Peter Scott
WebKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е обработката на злонамерено изградено уеб съдържание да доведе до изпълнение на произволен код
Описание: Проблемът с повредата в паметта беше разрешен с подобрено обработване на паметта.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao, работещ с ADLab от Venustech
WebKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е обработката на злонамерено изградено уеб съдържание да доведе до изпълнение на произволен код
Описание: Проблемът с объркването на типа беше разрешен с подобрено обработване на паметта.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Налично за: Apple Watch Series 1 и по-нови модели
Въздействие: Възможно е хакер от разстояние да предизвика изпълнение на произволен код
Описание: Проблемът с объркването на типа беше разрешен с подобрено обработване на паметта.
CVE-2020-3897: Brendan Draper (@6r3nd4n), работещ със Zero Day Initiative на Trend Micro
Допълнително признание
FontParser
Бихме искали да изразим признателност към Matthew Denton от Google Chrome за съдействието.
Ядро
Бихме искали да изразим признателност към Siguza за съдействието.
LinkPresentation
Бихме искали да изразим признателност към Travis за съдействието.
Телефон
Бихме искали да изразим признателност към Yiğit Can YILMAZ (@yilmazcanyigit) за съдействието.
rapportd
Бихме искали да изразим признателност към Alexander Heinrich (@Sn0wfreeze) от Technische Universität Darmstadt за съдействието.
WebKit
Бихме искали да изразим признателност към Samuel Groß от Google Project Zero, hearmen за съдействието.
Записът е актуализиран на 04 април 2020 г.