Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.
watchOS 6
Κυκλοφόρησε στις Πέμπτη, 19 Σεπτεμβρίου 2019
Ήχος
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8706: Yu Zhou του Ant-Financial Light-Year Security Lab
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Ήχος
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να αποκαλύψει περιορισμένη μνήμη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8850: ανώνυμος σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 4 Δεκεμβρίου 2019
CFNetwork
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την εισβολή με διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2019-8753: Łukasz Pilorz της Standard Chartered GBS Poland
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
CoreAudio
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης ταινίας μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2019-8705: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019
CoreCrypto
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας εισαγωγής μεγάλου μεγέθους μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8741: Nicky Mouha της NIST
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Υποδομή
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2019-8746: natashenka και Samuel Groß του Google Project Zero
Η καταχώριση ενημερώθηκε στις 29 Οκτωβρίου 2019 και στις 11 Φεβρουαρίου 2020
IOUSBDeviceFamily
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8718: Joshua Hill και Sem Voigtländer
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένα δικαιώματα.
CVE-2019-8703: ανώνυμος ερευνητής
Η καταχώριση προστέθηκε στις 16 Μαρτίου 2021
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια τοπική εφαρμογή μπορεί να έχει δυνατότητα ανάγνωσης ενός μόνιμου αναγνωριστικού λογαριασμού
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2019-8809: Apple
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης κατά τον χειρισμό των πακέτων IPv6. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2019-8744: Zhuo Liang της ομάδας Qihoo 360 Vulcan
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8717: Jann Horn του Google Project Zero
Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019
libxml2
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επαλήθευση εισόδου.
CVE-2019-8749: εντοπίστηκε από OSS-Fuzz
CVE-2019-8756: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019
mDNSResponder
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας που βρίσκεται σε κοντινή απόσταση ενδέχεται να έχει τη δυνατότητα να παρατηρεί παθητικά ονόματα συσκευών σε επικοινωνίες AWDL
Περιγραφή: Το πρόβλημα αντιμετωπίστηκε μέσω αντικατάστασης των ονομάτων συσκευών με ένα τυχαίο αναγνωριστικό.
CVE-2019-8799: David Kreitschmann και Milan Stute του Secure Mobile Networking Lab στο Technische Universität Darmstadt
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
UIFoundation
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.
CVE-2019-8745: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019
UIFoundation
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8831: riusksk της VulWar Corp σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώριση προστέθηκε στις 18 Νοεμβρίου 2019
WebKit
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2019-8710: εντοπίστηκε από OSS-Fuzz
CVE-2019-8728: Junho Jang της LINE Security Team και Hanul Choi της ABLY Corporation
CVE-2019-8734: εντοπίστηκε από OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech
CVE-2019-8752: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech
CVE-2019-8773: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Wi-Fi
Διατίθεται για: Apple Watch Series 3 και νεότερα μοντέλα
Αποτέλεσμα: Μπορεί να γίνει παθητική παρακολούθηση μιας συσκευής από τη διεύθυνση MAC του Wi-Fi της
Περιγραφή: Ένα πρόβλημα απορρήτου χρήστη αντιμετωπίστηκε με αφαίρεση της διεύθυνσης MAC μετάδοσης.
CVE-2019-8854: Ta-Lun Yen της UCCU Hacker, FuriousMacTeam της United States Naval Academy και Mitre Corporation
Η καταχώριση προστέθηκε στις 4 Δεκεμβρίου 2019
Επιπλέον αναγνώριση
Ήχος
Θα θέλαμε να ευχαριστήσουμε τον χρήστη riusksk της VulWar Corp, που συνεργάστηκε με το πρόγραμμα Zero Day Initiative της Trend Micro, για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
boringssl
Θα θέλαμε να ευχαριστήσουμε τον Thijs Alkemade (@xnyhps) της Computest για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 8 Οκτωβρίου 2019
HomeKit
Θα θέλαμε να ευχαριστήσουμε τον Tian Zhang για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
mDNSResponder
Θα θέλαμε να ευχαριστήσουμε τον Gregor Lang της e.solutions GmbH για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Προφίλ
Θα θέλαμε να ευχαριστήσουμε τους Erik Johnson του Vernon Hills High School και James Seeley (@Code4iOS) της Shriver Job Corps για τη βοήθειά τους.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019
Safari
Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019 και ενημερώθηκε στις 4 Απριλίου 2020
WebKit
Θα θέλαμε να ευχαριστήσουμε τους MinJeong Kim του Information Security Lab του Chungnam National University, JaeCheol Ryou του Information Security Lab του Chungnam National University στη Νότια Κορέα, cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro για τη βοήθειά τους.
Η καταχώριση προστέθηκε στις 29 Οκτωβρίου 2019