Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 6.2.8

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 6.2.8.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple.

watchOS 6.2.8

Εκδόθηκε την Τετάρτη, 15 Ιουλίου 2020

Ήχος

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9884: Yu Zhou (@yuzhou6666) της 小鸡帮 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9889: JunDong Xie και XingWei Li του Ant-financial Light-Year Security Lab

Η καταχώριση ενημερώθηκε στις 28 Ιουλίου 2020

Ήχος

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9888: JunDong Xie και XingWei Li του Ant-financial Light-Year Security Lab

CVE-2020-9890: JunDong Xie και XingWei Li του Ant-financial Light-Year Security Lab

CVE-2020-9891: JunDong Xie και XingWei Li του Ant-financial Light-Year Security Lab

CoreGraphics

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9883: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

Εργαλείο αναφοράς σφαλμάτων

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2020-9865: Zhuo Liang της ομάδας Qihoo 360 Vulcan σε συνεργασία με το 360 BugCloud

Υπηρεσίες γεωγραφικής τοποθεσίας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορεί να αποκτήσει δυνατότητα ανάγνωσης ευαίσθητων πληροφοριών τοποθεσίας

Περιγραφή: Ένα πρόβλημα εξουσιοδότησης αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9933: Min (Spark) Zheng και Xiaolong Bai της Alibaba Inc.

ImageIO

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9872: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9936: Mickey Jin της Trend Micro

Η καταχώριση ενημερώθηκε στις 28 Ιουλίου 2020

ImageIO

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9919:  Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

ImageIO

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα εγγραφής εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9876: Mickey Jin της Trend Micro

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

ImageIO

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9873: Xingwei Lin του Ant-financial Light-Year Security Lab

CVE-2020-9938: Xingwei Lin του Ant-financial Light-Year Security Lab

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9923: Proteas

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας που έχει ήδη πραγματοποιήσει επιτυχώς εκτέλεση κώδικα πυρήνα ενδέχεται να μπορεί να παρακάμψει τα μέτρα αντιμετώπισης της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2020-9909: Brandon Azad του Google Project Zero

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9904: Tielei Wang της Pangu Lab

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2020-9863: ένας ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

Mail

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος mail server ενδεχομένως να μπορεί να αντικαταστήσει αυθαίρετα αρχεία mail.

Περιγραφή: Ένα πρόβλημα χειρισμού διαδρομής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2020-9920: YongYue Wang AKA BigChan της ομάδας Hillstone Networks AF

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

Μηνύματα

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας χρήστης που αφαιρείται από μια ομάδα iMessage θα μπορούσε να συμμετάσχει ξανά στην ομάδα

Περιγραφή: Υπήρχε ένα πρόβλημα στον χειρισμό των Tapback στο iMessage. Το πρόβλημα επιλύθηκε με πρόσθετη επαλήθευση.

CVE-2020-9885: ένας ανώνυμος ερευνητής, ο Suryansh Mansharamani του WWP High School North (medium.com/@suryanshmansha)

Ασφάλεια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να είχε τη δυνατότητα να μιμηθεί έναν έμπιστο ιστότοπο χρησιμοποιώντας υλικό κοινόχρηστου κλειδιού για ένα πιστοποιητικό προστιθέμενο από διαχειριστή

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης πιστοποιητικού κατά την επεξεργασία πιστοποιητικών προστιθέμενων από διαχειριστή. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση πιστοποιητικών.

CVE-2020-9868: Brian Wolff της Asana

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9894: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να αποτρέψει την επιβολή της Πολιτικής ασφάλειας περιεχομένου

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης στην Πολιτική ασφάλειας περιεχομένου.  Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους περιορισμούς πρόσβασης.

CVE-2020-9915: Ayoub AIT ELMOKHTAR της Noon

Η καταχώριση ενημερώθηκε στις 28 Ιουλίου 2020

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να επιτρέψει την καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2020-9925: ένας ανώνυμος ερευνητής

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2020-9893: 0011 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2020-9895: Wen Xu του SSLab στο Georgia Tech

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος εισβολέας με αυθαίρετη δυνατότητα ανάγνωσης και εγγραφής μπορεί να έχει τη δυνατότητα να παρακάμψει τον έλεγχο ταυτότητας δείκτη

Περιγραφή: Πολλά προβλήματα αντιμετωπίστηκαν με βελτιωμένη λογική.

CVE-2020-9910: Samuel Groß του Google Project Zero

Φόρτωση σελίδων WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος εισβολέας μπορεί να έχει τη δυνατότητα να αποκρύψει τον προορισμό μιας διεύθυνσης URL

Περιγραφή: Ένα πρόβλημα κωδικοποίησης Unicode για διευθύνσεις URL αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2020-9916: Rakesh Mane (@RakeshMane10)

WebKit Web Inspector

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η αντιγραφή μιας διεύθυνσης URL από το Web Inspector μπορεί να οδηγήσει σε εισαγωγή εντολών

Περιγραφή: Υπήρχε ένα πρόβλημα εισαγωγής εντολών στο Web Inspector. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη έξοδο.

CVE-2020-9862: Ophir Lojkine (@lovasoa)

Wi-Fi

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9918: Jianjun Dai του 360 Alpha Lab σε συνεργασία με το 360 BugCloud (bugcloud.360.cn)

Wi-Fi

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να καταστρέψει τη μνήμη πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2020-9906: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 28 Ιουλίου 2020

Επιπλέον αναγνώριση

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Brandon Azad του Google Project Zero για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: