Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 7.0
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 7.0.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
watchOS 7.0
Audio
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9943: JunDong Xie του Ant Group Light-Year Security Lab
Audio
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9944: JunDong Xie του Ant Group Light-Year Security Lab
CoreAudio
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9960: JunDong Xie και Xingwei Lin του Ant Security Light-Year Lab
CoreAudio
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η αναπαραγωγή ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2020-9954: Francis σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, JunDong Xie του Ant Group Light-Year Security Lab
CoreCapture
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9949: Proteas
CoreText
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-9999: Apple
Disk Images
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
FontParser
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-29629: ανώνυμος ερευνητής
FontParser
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9956: Mickey Jin και Junzhi Lu της ομάδας Trend Micro Mobile Security Research Team σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
FontParser
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-27931: Apple
FontParser
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-29639: Mickey Jin και Qi Sun της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
HomeKit
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να τροποποιεί μη αναμενόμενα την κατάσταση εφαρμογής
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη μετάδοση ρυθμίσεων.
CVE-2020-9978: Luyi Xing, Dongfang Zhao και Xiaofeng Wang του Indiana University Bloomington, Yan Jia του Xidian University και του University of Chinese Academy of Sciences και Bin Yuan του HuaZhong University of Science and Technology
ImageIO
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου tiff μπορεί να οδηγήσει σε άρνηση υπηρεσίας ή ενδεχομένως να αποκαλύψει περιεχόμενα της μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-36521: Xingwei Lin του Ant-Financial Light-Year Security Lab
ImageIO
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9961: Xingwei Lin της Ant Security Light-Year Lab
ImageIO
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9876: Mickey Jin της Trend Micro
ImageIO
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9955: Mickey Jin της Trend Micro, Xingwei Lin του Ant Security Light-Year Lab
Kernel
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9975: Tielei Wang του Pangu Lab
Keyboard
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-9976: Rias A. Sherzad της JAIDE GmbH στο Αμβούργο, Γερμανία
libxml2
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9981: εντοπίστηκε από OSS-Fuzz
libxpc
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2020-9971: Zhipeng Huo (@R3dF09) του Tencent Security Xuanwu Lab
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να είναι σε θέση να τροποποιήσει απρόσμενα την κατάσταση της εφαρμογής
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-9941: Fabian Ising του FH Münster University of Applied Sciences και Damian Poddebniak του FH Münster University of Applied Sciences
Messages
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να ανακαλύψει τα διαγραμμένα μηνύματα ενός χρήστη
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαγραφή.
CVE-2020-9989: von Brunn Media
Phone
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Το κλείδωμα οθόνης μπορεί να μην ενεργοποιηθεί μετά την καθορισμένη χρονική περίοδο
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-9946: Daniel Larsson της iolight AB
Safari
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό περιβάλλοντος χρήστη.
CVE-2020-9993: Masato Sugiyama (@smasato) του University of Tsukuba, Piotr Duszynski
Sandbox
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2020-9969: Wojciech Reguła του SecuRing (wojciechregula.blog)
Sandbox
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2020-9968: Adam Chester (@_xpn_) της TrustedSec
SQLite
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Πολλά προβλήματα στο SQLite
Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση του SQLite στην έκδοση 3.32.3.
CVE-2020-15358
SQLite
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Ένα πρόβλημα αποκάλυψης πληροφοριών αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2020-9849
SQLite
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε αλλοίωση δεδομένων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2020-13631
SQLite
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2020-13630
WebKit
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2020-9947: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2020-9950: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2020-9951: Marcin «Icewall» Noga της Cisco Talos
WebKit
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2020-9983: zhunki
WebKit
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2020-9952: Ryan Pickren (ryanpickren.com)
Επιπλέον αναγνώριση
Audio
Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και Xingwei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά τους.
Audio
Θα θέλαμε να ευχαριστήσουμε τους JunDong Xie και XingWei Lin του Ant-Financial Light-Year Security Lab για τη βοήθειά τους.
Bluetooth
Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.
Clang
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.
Core Location
Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.
Crash Reporter
Θα θέλαμε να ευχαριστήσουμε τον Artur Byszko της AFINE για τη βοήθειά του.
iAP
Θα θέλαμε να ευχαριστήσουμε τον Andy Davis της NCC Group για τη βοήθειά του.
Kernel
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero και τον Stephen Röttger της Google για τη βοήθειά τους.
libxml2
Θα θέλαμε να ευχαριστήσουμε τον ανώνυμο ερευνητή για τη βοήθειά του.
Location Framework
Θα θέλαμε να ευχαριστήσουμε τον Nicolas Brunner (linkedin.com/in/nicolas-brunner-651bb4128) για τη βοήθειά του.
Mail Drafts
Θα θέλαμε να ευχαριστήσουμε τον Jon Bottarini της HackerOne για τη βοήθειά του.
Safari
Θα θέλαμε να ευχαριστήσουμε τους Andreas Gutmann (@KryptoAndI) του OneSpan's Innovation Centre (onespan.com) και του University College London, Steven J. Murdoch (@SJMurdoch) του OneSpan's Innovation Centre (onespan.com) και του University College London, Jack Cable της Lightning Security, Ryan Pickren (ryanpickren.com) και Yair Amit για τη βοήθειά τους.
WebKit
Θα θέλαμε να ευχαριστήσουμε τους Pawel Wylecial της REDTEAM.PL, Ryan Pickren (ryanpickren.com) για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.