Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 5.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 5.2.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
watchOS 5.2
Λογαριασμοί
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου vcf μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
CFString
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2019-8516: ομάδα SWIPS της Frifee Inc.
configd
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Επαφές
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8511: ανώνυμος ερευνητής
CoreCrypto
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8542: ανώνυμος ερευνητής
αρχείο
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να αποκαλύψει πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-8906: Francisco Alonso
Υποδομή
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-7286: ανώνυμος ερευνητής, Clement Lecigne του Google Threat Analysis Group, Ian Beer του Google Project Zero και Samuel Groß του Google Project Zero
Υπηρεσίες γεωγραφικής τοποθεσίας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Το κλικ σε έναν κακόβουλο σύνδεσμο SMS μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8553: ανώνυμος ερευνητής
iAP
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8542: ανώνυμος ερευνητής
IOHIDFamily
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8545: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να τροποποιήσει τα δεδομένα κίνησης δικτύου
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-5608: Apple
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8547: derrek (@derrekr6)
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8525: Zhuo Liang και shrek_wzw της Qihoo 360 Nirvan Team
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.
CVE-2019-8527: Ned Williamson της Google και derrek (@derrekr6)
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) από την ομάδα Qihoo 360 Vulcan
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8540: Weibo Wang (@ma1fan) από την ομάδα Qihoo 360 Nirvan
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8514: Samuel Groß του Google Project Zero
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-6207: Weibo Wang από την ομάδα Qihoo 360 Nirvan (@ma1fan)
CVE-2019-8510: Stefan Esser της Antid0te UG
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-7293: Ned Williamson της Google
MediaLibrary
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει πρόσβαση σε περιορισμένα αρχεία
Περιγραφή: Ένα πρόβλημα με τα δικαιώματα αντιμετωπίστηκε με την αφαίρεση του ευάλωτου κώδικα και την προσθήκη επιπλέον ελέγχων.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng και Xiaolong Bai της Alibaba Inc.
Μηνύματα
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη
Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.
CVE-2019-8546: ChiYuan Chang
Συνθηματικό
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η μερική εισαγωγή ενός συνθηματικού μπορεί να μην καταργείται κατά τη μετάβαση της συσκευής σε λειτουργία ύπνου
Περιγραφή: Υπήρχε ένα πρόβλημα στο οποίο η μερική εισαγωγή συνθηματικών μπορεί να μην μπορούσε να καταργηθεί κατά τη μετάβαση της συσκευής σε λειτουργία ύπνου. Αυτό το πρόβλημα αντιμετωπίστηκε με την κατάργηση του συνθηματικού κατά την κατάσταση ύπνου μιας κλειδωμένης συσκευής.
CVE-2019-8548: Tobias Sachs
Διαχείριση ενέργειας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχαν πολλά ζητήματα επαλήθευσης εισόδου στον δημιουργημένο κώδικα MIG. Αυτά τα προβλήματα αντιμετωπίστηκαν με βελτιωμένη επαλήθευση.
CVE-2019-8549: Mohamed Ghannam (@_simo36) της SSD Secure Disclosure (ssd-disclosure.com)
Απόρρητο
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να παρακολουθεί τους χρήστες μεταξύ των εγκαταστάσεων
Περιγραφή: Υπήρχε ένα πρόβλημα απορρήτου στη βαθμονόμηση του αισθητήρα κίνησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επεξεργασία του αισθητήρα κίνησης.
CVE-2019-8541: Stan (Jiexin) Zhang και Alastair R. Beresford του University of Cambridge, Ian Sheret της Polymath Insight Limited
Sandbox
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.
CVE-2019-8618: Brandon Azad
Ασφάλεια
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένα μη αξιόπιστο πιστοποιητικό διακομιστή radius ενδέχεται να εμφανίζεται ως αξιόπιστο
Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης στη Διαχείριση σημείων στήριξης αξιοπιστίας. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8531: ανώνυμος ερευνητής, ομάδα QA της SecureW2
Siri
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να ξεκινήσει ένα αίτημα υπαγόρευσης χωρίς εξουσιοδότηση από τον χρήστη
Περιγραφή: Υπήρχε ένα πρόβλημα API στον χειρισμό των αιτημάτων υπαγόρευσης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8502: Luke Deshotels του North Carolina State University, Jordan Beichler του North Carolina State University, William Enck του North Carolina State University, Costin Carabaș του University POLITEHNICA of Bucharest και Răzvan Deaconescu του University POLITEHNICA of Bucharest
TrueTypeScaler
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2019-8517: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8536: Apple
CVE-2019-8544: ανώνυμος ερευνητής
WebKit
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8506: Samuel Groß του Google Project Zero
WebKit
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8518: Samuel Groß του Google Project Zero
CVE-2019-8558: Samuel Groß του Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: εντοπίστηκε από OSS-Fuzz
CVE-2019-8639: εντοπίστηκε από OSS-Fuzz
WebKit
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένου περιεχομένου ιστού ενδεχομένως να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2019-7292: Zhunki και Zhiyi Zhang από την ομάδα 360 ESG Codesafe
Επιπλέον αναγνώριση
Λογαριασμοί
Θα θέλαμε να ευχαριστήσουμε τον Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt για τη βοήθειά του.
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τους Brandon Azad του Google Project Zero, Brandon Azad, Raz Mashat (@RazMashat) του Ilan Ramon High School για τη βοήθειά τους.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.