Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 5.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 5.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 5.3

Bluetooth

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να υποκλέψει κίνηση δεδομένων μέσω Bluetooth (Key Negotiation of Bluetooth – KNOB)

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης εισαγωγής στο Bluetooth. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-9506: Daniele Antonioli της SUTD, Σιγκαπούρη, Δρ Nils Ole Tippenhauer της CISPA, Γερμανία, και καθ. Kasper Rasmussen του University of Oxford, Αγγλία

Οι αλλαγές για αυτό το πρόβλημα επιλύουν το CVE-2020-10135.

Δεδομένα πυρήνα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8646: natashenka του Google Project Zero

Δεδομένα πυρήνα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2019-8647: Samuel Groß και natashenka του Google Project Zero

Δεδομένα πυρήνα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8660: Samuel Groß και natashenka του Google Project Zero

Digital Touch

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8624: natashenka του Google Project Zero

FaceTime

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8648: Tao Huang και Tielei Wang της Team Pangu

Heimdal

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Υπήρχε ένα πρόβλημα στη Samba που ενδέχεται να επιτρέψει σε εισβολείς να εκτελέσουν μη εξουσιοδοτημένες ενέργειες υποκλέπτοντας επικοινωνίες μεταξύ υπηρεσιών

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους για την αποτροπή μη εξουσιοδοτημένων ενεργειών.

CVE-2018-16860: Isaac Boukris και Andrew Bartlett των Samba Team και Catalyst

Επεξεργασία εικόνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8668: ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2019-8633: Zhuo Liang της ομάδας Qihoo 360 Vulcan

libxslt

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες

Περιγραφή: Ένα πρόβλημα υπερχείλισης στοίβας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-13118: εντοπίστηκε από OSS-Fuzz

Μηνύματα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Χρήστες που έχουν αφαιρεθεί από μια συζήτηση iMessage ενδέχεται να εξακολουθούν να έχουν τη δυνατότητα αλλαγής κατάστασης

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen του University of Oregon

Μηνύματα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να προκαλέσει έναν απρόσμενο τερματισμό εφαρμογής

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2019-8665: Michael Hernandez της XYZ Marketing

Άμεση προβολή

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να ενεργοποιήσει ένα σφάλμα τύπου «use-after-free» σε μια εφαρμογή εκτελώντας αποσειριοποίηση σε ένα μη αξιόπιστο NSDictionary

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2019-8662: natashenka και Samuel Groß του Google Project Zero

Siri

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8646: natashenka του Google Project Zero

UIFoundation

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου εγγράφου office ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2019-8657: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Wallet

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης ενδέχεται να πραγματοποιήσει κατά λάθος μια αγορά εντός εφαρμογής ενώ βρίσκεται στην οθόνη κλειδώματος

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2019-8658: akayn σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2019-8669: akayn σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2019-8672: Samuel Groß του Google Project Zero

CVE-2019-8676: Soyeon Park και Wen Xu του SSLab στο Georgia Tech

CVE-2019-8683: lokihardt του Google Project Zero

CVE-2019-8684: lokihardt του Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao σε συνεργασία με το ADLab του Venustech, Ken Wong (@wwkenwong) του VXRL, Anthony Lai (@darkfloyd1014) του VXRL και Eric Lung (@Khlung1) του VXRL

CVE-2019-8688: Insu Yun του SSLab στο Georgia Tech

CVE-2019-8689: lokihardt του Google Project Zero

Επιπλέον αναγνώριση

MobileInstallation

Θα θέλαμε να ευχαριστήσουμε τον Dany Lisiansky (@DanyL931) για τη βοήθειά του.