Informace o bezpečnostním obsahu watchOS 6
Tento dokument popisuje bezpečnostní obsah watchOS 6.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 6
Zvuk
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého zvukového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2019-8706: Yu Zhou z týmu Ant-Financial Light-Year Security Lab
Zvuk
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého zvukového souboru může odhalit obsah vyhrazené paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8850: Anonymní výzkumník ve spolupráci se Zero Day Initiative společnosti Trend Micro
CFNetwork
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k útoku skriptováním napříč weby.
Popis: Problém byl vyřešen vylepšením kontrol.
CVE-2019-8753: Łukasz Pilorz ze společnosti Standard Chartered GBS, Polsko
CoreAudio
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého filmu může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování.
CVE-2019-8705: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
CoreCrypto
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování velkého vstupu může vést k odmítnutí služby.
Popis: Problém s odmítnutím služby byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8741: Nicky Mouha z NIST
Foundation
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8746: natashenka a Samuel Groß z týmu Google Project Zero
IOUSBDeviceFamily
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8718: Joshua Hill a Sem Voigtländer
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit navýšit si oprávnění.
Popis: Problém byl vyřešen vylepšením oprávnění.
CVE-2019-8703: anonymní výzkumník
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Místní aplikaci se může podařit přečíst trvalý identifikátor účtu.
Popis: Problém s ověřováním byl vyřešen vylepšením logiky.
CVE-2019-8809: Apple
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.
Popis: Při zpracování paketů IPv6 existoval problém s poškozením paměti. Problém byl vyřešen vylepšením správy paměti.
CVE-2019-8744: Zhuo Liang z týmu Qihoo 360 Vulcan
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy stavu.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Jádro
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8717: Jann Horn z týmu Google Project Zero
libxml2
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Několik problémů v knihovně libxml2.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2019-8749: nalezeno programem OSS-Fuzz
CVE-2019-8756: nalezeno programem OSS-Fuzz
mDNSResponder
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Útočníkovi ve fyzické blízkosti se může podařit pasivně zjišťovat názvy zařízení v rámci komunikace AWDL.
Popis: Problém byl vyřešen vyměněním názvů zařízení za náhodný identifikátor.
CVE-2019-8799: David Kreitschmann a Milan Stute ze Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu
UIFoundation
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého textového souboru může vést ke spuštění libovolného kódu.
Popis: Problém s přetečením zásobníku byl vyřešen vylepšením kontroly rozsahu.
CVE-2019-8745: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
UIFoundation
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8831: riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro
WebKit
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2019-8710: nalezeno programem OSS-Fuzz
CVE-2019-8728: Junho Jang z týmu LINE Security a Hanul Choi ze společnosti ABLY Corporation
CVE-2019-8734: nalezeno programem OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech
CVE-2019-8752: Dongzhuo Zhao ve spolupráci s týmem ADLab společnosti Venustech
CVE-2019-8773: nalezeno programem OSS-Fuzz
Wi-Fi
K dispozici pro: Apple Watch Series 3 a novější
Dopad: Zařízení je možné pasivně sledovat podle MAC adresy, se kterou se připojuje k Wi-Fi.
Popis: Problém se soukromím uživatelů byl vyřešen odebráním MAC adresy pro vysílání.
CVE-2019-8854: Ta-Lun Yen ze skupiny UCCU Hacker a FuriousMacTeam z Námořní akademie Spojených států a Mitre Cooperation
Další poděkování
Zvuk
Poděkování za pomoc zaslouží riusksk ze společnosti VulWar Corp ve spolupráci se Zero Day Initiative společnosti Trend Micro.
boringssl
Poděkování za pomoc zaslouží Alkemade (@xnyhps) ze společnosti Computest.
HomeKit
Poděkování za pomoc zaslouží Tian Zhang.
Jádro
Poděkování za pomoc zaslouží Brandon Azad z týmu Google Project Zero.
mDNSResponder
Poděkování za pomoc zaslouží Gregor Lang ze společnosti e.solutions GmbH.
Profily
Poděkování za pomoc zaslouží Erik Johnson ze střední školy Vernon Hills a James Seeley (@Code4iOS) ze společnosti Shriver Job Corps.
Safari
Poděkování za pomoc zaslouží Yiğit Can YILMAZ (@yilmazcanyigit).
WebKit
Poděkování za pomoc zaslouží MinJeong Kim a JaeCheol Ryou z Information Security Lab na jihokorejské národní univerzitě Chungnam ve spolupráci se Zero Day Initiative společnosti Trend Micro.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.