Teave watchOS 6.1 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi watchOS 6.1 turbesisu.
Teave Apple’i turbevärskenduste kohta
Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Viimased väljaanded on loetletud Apple’i turbevärskenduste lehel.
Võimaluse korral viidatakse Apple’i turvadokumentides aadressil CVE-ID toodud turvaaukudele.
Lisateavet turvalisuse kohta leiate lehelt Apple’i toodete turvalisus.
watchOS 6.1
Kontod
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: kaugründaja võib põhjustada mälulekkeid
Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8787: Steffen Klee laborist Secure Mobile Networking (Technische Universität Darmstadt)
AirDrop
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: režiimis Everyone (Igaüks) võidakse AirDropi ülekandeid ootamatult aktsepteerida
Kirjeldus: loogikaprobleem lahendati valideerimise parandamisega.
CVE-2019-8796: Allison Husain, UC Berkeley
App Store
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: kohalik ründaja võib olla võimeline varem sisse loginud kasutaja kontole kehtivate mandaatideta sisse logima.
Kirjeldus: autentimisprobleem lahendati olekuhalduse parandamisega.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud haavatavus lahendati lukustuse parandamisega.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Heli
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu probleemiga seotud rikkumine lahendati mälukäsitluse parandamisega.
CVE-2019-8785: Ian Beer, Google Project Zero
CVE-2019-8797: 08Tc3wBB töötamine SSD turvaavaldusega
Kontaktid
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: pahatahtliku kontakti töötlemine võib põhjustada kasutajaliidese võltsimist
Kirjeldus: kasutajaliidese ebaühtluse probleem lahendati olekuhalduse parandamisega.
CVE-2017-7152: Oliver Paukstadt, Thinking Objects GmbH (to.com)
Failisüsteemi sündmused
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu probleemiga seotud haavatavus lahendati mälukäsitluse parandamisega.
CVE-2019-8798: ABC Research s.r.o. töö Trend Micro algatusega Zero Day
Tuum
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline lugema piiratud mälu
Kirjeldus: valideerimisprobleem lahendati sisestuskontrolliga parandamisega.
CVE-2019-8794: 08Tc3wBB töötamine SSD turvaavaldusega
Kernel
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega täitma
Kirjeldus: mälu probleemiga seotud haavatavus lahendati mälukäsitluse parandamisega.
CVE-2019-8786: Wen Xu of Georgia Tech, Microsoft Offensive Security Research Intern
Tuum
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega täitma
Kirjeldus: mälu rikkumisega seotud haavatavus lahendati lukustuse parandamisega.
CVE-2019-8829: Jann Horn, Google Project Zero
libxslt
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: teegi libxslt mitmesugused probleemid
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati sisestuste valideerimise parandamisega.
CVE-2019-8750: leidnud OSS-Fuzz
VoiceOver
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: iOS-i seadmele füüsilise juurdepääsuga isik võib kontaktidele lukustuskuvalt juurde pääseda
Kirjeldus: probleem lahendati lukustatud seadmes pakutavate võimaluste piiramisega.
CVE-2019-8775: videosdebarraquito
WebKit
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: pahatahtlikult formuleeritud veebisisu töötlemine võib viia universaalse saidiülese skriptimiseni
Kirjeldus: loogikaprobleem lahendati täiustatud olekuhalduse parandamisega.
CVE-2019-8764: Jann Horn, Google Project Zero
WebKit
Saadaval: Apple Watch Series 1 ja uuemate versioonide jaoks
Mõju: pahatahtlikult formuleeritud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati mälukäsitluse parandamisega.
CVE-2019-8743: zhunki, Legendseci Codesafe’i meeskond (Qi’anxin Group)
CVE-2019-8765: Samuel Groß, Google Project Zero
CVE-2019-8766: leidnud OSS-Fuzz
CVE-2019-8808: leidnud OSS-Fuzz
CVE-2019-8811: Soyeon Park, SSLab (Georgia Tech)
CVE-2019-8812: JunDong Xie, Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park, SSLab (Georgia Tech)
CVE-2019-8820: Samuel Groß, Google Project Zero
Lisatunnustus
boringssl
Täname abi eest: Nimrod Aviram (Tel Avivi ülikool), Robert Merget (Ruhri Bochumi ülikool), Juraj Somorovsky (Ruhri Bochumi ülikool).
CFNetwork
Täname abi eest Lily Cheni Google’ist.
Tuum
Täname abi eest: Daniel Roethlisberger (Swisscom CSIRT), Jann Horn (Google Project Zero).
Safari
Täname abi eest Ron Summersit ja Ronald van der Meeri.
WebKit
Täname abi eest Zhiyi Zhangi (Legendseci Codesafe’i meeskond, Qi’anxin Group).
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.