Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 6.2

Σε αυτό το έγγραφο περιγράφεται το περιεχόμενο ασφάλειας του watchOS 6.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 6.2

Κυκλοφόρησε στις 24 Μαρτίου 2020

Λογαριασμοί

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια διεργασία sandbox μπορεί να αποκτήσει τη δυνατότητα να παρακάμψει τους περιορισμούς του sandbox

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9772: Allison Husain του UC Berkeley

Η καταχώριση προστέθηκε στις 21 Μαΐου 2020

ActionKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να χρησιμοποιεί ένα πρόγραμμα-πελάτη SSH που παρέχεται από ιδιωτικά πλαίσια

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με νέα δικαιώματα.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να χρησιμοποιεί αυθαίρετα δικαιώματα

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2020-3883: Linus Henze (pinauten.de)

CoreFoundation

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Υπήρχε ένα πρόβλημα με τα δικαιώματα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση δικαιωμάτων.

CVE-2020-3913: Timo Christ της εταιρείας Avira Operations GmbH & Co. KG

Εικονίδια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ο ορισμός ενός εναλλακτικού εικονιδίου εφαρμογής ενδέχεται να αποκαλύψει μια φωτογραφία χωρίς να απαιτούνται δικαιώματα για την πρόσβαση σε φωτογραφίες

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2020-3916: Vitaliy Alekseev (@villy21)

Επεξεργασία εικόνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3919: Alex Plaskett της F-Secure Consulting

Η καταχώριση ενημερώθηκε στις 21 Μαΐου 2020

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3914: pattern-f (@pattern_F_) της WaCai

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9785: Proteas από την ομάδα Nirvan της Qihoo 360

libxml2

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με τη βελτίωση του ελέγχου ορίων.

CVE-2020-3909: LGTM.com

CVE-2020-3911: εντοπίστηκε από OSS-Fuzz

libxml2

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Πολλαπλά προβλήματα στο libxml2

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επαλήθευση μεγέθους.

CVE-2020-3910: LGTM.com

Μηνύματα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένα άτομο με φυσική πρόσβαση σε μια κλειδωμένη συσκευή iOS ενδέχεται να μπορεί να απαντήσει σε ένα μήνυμα ακόμα κι όταν η λειτουργία απάντησης είναι απενεργοποιημένη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-3891: Peter Scott

Sandbox

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να προβάλλει ευαίσθητες πληροφορίες χρήστη

Περιγραφή: Ένα πρόβλημα πρόσβασης αντιμετωπίστηκε με πρόσθετους περιορισμούς του sandbox.

CVE-2020-3918: Augusto Alvarez της Outcourse Limited

Η καταχώριση προστέθηκε την 1η Μαΐου 2020

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ορισμένοι ιστότοποι ενδέχεται να μην έχουν εμφανιστεί στις Προτιμήσεις του Safari

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένους περιορισμούς.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Η καταχώριση προστέθηκε την 1η Μαΐου 2020

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3899: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε την 1η Μαΐου 2020

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao σε συνεργασία με το ADLab της Venustech

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-3897: Brendan Draper (@6r3nd4n) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Επιπλέον αναγνώριση

FontParser

Θα θέλαμε να ευχαριστήσουμε τον Matthew Denton της Google Chrome για τη βοήθειά του.

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Siguza για τη βοήθειά του.

LinkPresentation

Θα θέλαμε να ευχαριστήσουμε τον Travis για τη βοήθειά του.

Τηλέφωνο

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

rapportd

Θα θέλαμε να ευχαριστήσουμε τον Alexander Heinrich (@Sn0wfreeze) του Technische Universität Darmstadt για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε τους Samuel Groß του Google Project Zero και hearmen για τη βοήθειά τους.

Η καταχώριση ενημερώθηκε στις 4 Απριλίου 2020

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: