Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple.
watchOS 6.1
Vydáno 29. října 2019
Účty
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Vzdálenému útočníkovi se může podařit způsobit únik paměti.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením ověřování vstupů.
CVE-2019-8787: Steffen Klee ze Secure Mobile Networking Lab na Technické univerzitě v Darmstadtu
AirDrop
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Přenosy AirDrop mohou být v režimu Pro všechny neočekávaně přijaty.
Popis: Problém v logice byl vyřešen vylepšením ověřování.
CVE-2019-8796: Allison Husain z UC Berkeley
Záznam aktualizován 4. dubna 2020
App Store
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Místnímu útočníkovi se může podařit přihlásit se k účtu dříve přihlášeného uživatele s platnými přihlašovacími údaji.
Popis: Problém s ověřováním byl vyřešen vylepšením správy stavu.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Zvuk
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8785: Ian Beer z týmu Google Project Zero
CVE-2019-8797: 08Tc3wBB ve spolupráci se SSD Secure Disclosure
Kontakty
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Zpracovávání škodlivého kontaktu může vést k falšování uživatelského rozhraní.
Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.
CVE-2017-7152: Oliver Paukstadt ze společnosti Thinking Objects GmbH (to.com)
Události souborového systému
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8798: ABC Research s.r.o. ve spolupráci s Trend Micro Zero Day Initiative
Jádro
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Aplikaci se může podařit číst vyhrazenou paměť.
Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.
CVE-2019-8794: 08Tc3wBB ve spolupráci se SSD Secure Disclosure
Jádro
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2019-8786: Wen Xu z Georgia Tech, stážista v týmu Microsoft Offensive Security Research
Záznam aktualizován 18. listopadu 2019
Jádro
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Bezpečnostní slabina spočívající v poškození paměti byla vyřešena vylepšením zamykání.
CVE-2019-8829: Jann Horn z týmu Google Project Zero
Záznam přidán 8. listopadu 2019
libxslt
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Několik problémů v libxslt
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.
CVE-2019-8750: nalezeno programem OSS-Fuzz
VoiceOver
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Osobě s fyzickým přístupem k iOS zařízení se může podařit dostat se ze zamčené obrazovky ke kontaktům.
Popis: Problém byl vyřešen omezením možností nabízených na zamčeném zařízení.
CVE-2019-8775: videosdebarraquito
WebKit
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Zpracování škodlivého webového obsahu může vést k univerzálnímu skriptování napříč weby.
Popis: Problém v logice byl vyřešen vylepšením správy stavu.
CVE-2019-8764: Sergei Glazunov z týmu Google Project Zero
WebKit
K dispozici pro: Apple Watch Series 1 a novější
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2019-8743: zhunki z týmu Codesafe ve společnosti Legendsec ze skupiny Qi'anxin Group
CVE-2019-8765: Samuel Groß z týmu Google Project Zero
CVE-2019-8766: nalezeno programem OSS-Fuzz
CVE-2019-8808: nalezeno programem OSS-Fuzz
CVE-2019-8811: Soyeon Park z týmu SSLab na univerzitě Georgia Tech
CVE-2019-8812: JunDong Xie z týmu Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park z týmu SSLab na univerzitě Georgia Tech
CVE-2019-8820: Samuel Groß z týmu Google Project Zero
Záznam aktualizován 18. listopadu 2019
Další poděkování
boringssl
Poděkování za pomoc zaslouží Nimrod Aviram z Telavivské univerzity, Robert Merget z Porúrské univerzity v Bochumi, Juraj Somorovsky z Porúrské univerzity v Bochumi.
CFNetwork
Poděkování za pomoc zaslouží Lily Chen ze společnosti Google.
Jádro
Poděkování za pomoc zaslouží Daniel Roethlisberger z týmu Swisscom CSIRT a Jann Horn z týmu Google Project Zero.
Záznam aktualizován 8. listopadu 2019
Safari
Poděkování za pomoc zaslouží Ron Summers, Ronald van der Meer.
Záznam aktualizován 11. února 2020
WebKit
Poděkování za pomoc zaslouží Zhiyi Zhang z týmu Codesafe ve společnosti Legendsec ze skupiny Qi'anxin Group.