Teave watchOS 6.2 turbesisu kohta
Selles dokumendis kirjeldatakse watchOS 6.2 turbesisu.
Teave Apple'i turbevärskenduste kohta
Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Viimased väljaanded on Apple’i turbevärskenduste lehel.
Apple’i turbedokumentides viidatakse võimaluse korral CVE-ID loendis toodud nõrkustele.
Turbe kohta leiate lisateavet lehelt Apple'i toodete turve.
watchOS 6.2
ActionKit
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib kasutada privaatse raamistiku antud SSL-klientrakendust
Kirjeldus: probleem lahendati uue õiguse andmise kaudu.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib omavoliliselt õigusi kasutada
Kirjeldus: probleem lahendati kontrollimise täiustamise kaudu.
CVE-2020-3883: Linus Henze (pinauten.de)
CoreFoundation
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: paharakendus võib õigusi suurendada
Kirjeldus: oli lubadega seotud probleem. Probleem lahendati lubade valideerimise täiustamise kaudu.
CVE-2020-3913: Ettevõtte Avira Operations GmbH & Co. KG töötaja Timo Christ
Ikoonid
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: paharakendus võib tuvastada muud kasutaja installitud rakendused
Kirjeldus: probleem lahendati ikoonikrahhide haldamise täiustamise kaudu.
CVE-2020-9773: Zimperium zLabsi liige Chilik Tamir
Ikoonid
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: teise rakenduseikooni määramise kaudu võidakse avaldada foto ilma loata fotodele juurde pääseda
Kirjeldus: juurdepääsuprobleem lahendati täiendavate liivakastipiiranguteta.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Pilditöötlus
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib omavoliliselt süsteemiõiguste alusel koodi rakendada
Kirjeldus: mälu rikkumise probleem lahendati mäluhalduse täiustamise kaudu.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: paharakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada
Kirjeldus: mälu kasutamise algatamise probleem lahendati mäluhalduse täiustamise kaudu.
CVE-2020-3919: anonüümne uurija
Kernel
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib keelatud mälu lugeda
Kirjeldus: mälu kasutamise algatamise probleem lahendati mäluhalduse täiustamise kaudu.
CVE-2020-3914: ettevõtte WaCai töötaja pattern-f (@pattern_F_)
Kernel
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: paharakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada
Kirjeldus: mitu mälu rikkumise probleemi lahendati olekuhalduse täiustamise kaudu.
CVE-2020-9785: meeskonna Qihoo 360 Nirvan liige Proteas
libxml2
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: mitu libxml2 probleemi
Kirjeldus: puhvermälu mahu ületamise probleem lahendati piiride kontrollimise täiustamise kaudu.
CVE-2020-3909: LGTM.com
CVE-2020-3911: leidis OSS-Fuzz
libxml2
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: mitu libxml2 probleemi
Kirjeldus: puhvermälu mahu ületamise probleem lahendati mahu valideerimise täiustamise kaudu.
CVE-2020-3910: LGTM.com
Messages (Sõnumid)
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: lukustatud iOS-i seadmele ligipääsev isik võib sõnumitele vastata, kui vastamine on keelatud
Kirjeldus: loogikaprobleem lahendati olekuhalduse täiustamise kaudu.
CVE-2020-3891: Peter Scott
WebKit
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: pahatahtlikul eesmärgil koostatud veebisisu töötlemine võib põhjustada koodi omavolilise rakendamise
Kirjeldus: mälu rikkumise probleem lahendati mäluhalduse täiustamise kaudu.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao koostöös ADLab of Venustechiga
WebKit
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: pahatahtlikul eesmärgil koostatud veebisisu töötlemine võib põhjustada koodi omavolilise rakendamise
Kirjeldus: tüübieksituse probleem lahendati mäluhalduse täiustamise kaudu.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: kaugründaja võib omavoliliselt koodi rakendada
Kirjeldus: tüübieksituse probleem lahendati mäluhalduse täiustamise kaudu.
CVE-2020-3897: Brendan Draper (@6r3nd4n) koostöös algatusega Trend Micro’s Zero Day Initiative
Lisatunnustus
FontParser
Soovime abi eest tunnustada Google Chrome’i tarkvarainseneri Matthew Dentonit.
Kernel
Soovime abi eest tunnustada kasutajat Siguza.
LinkPresentation
Soovime abi eest tunnustada Travist.
Telefon
Soovime abi eest tunnustada kasutajat Yiğit Can YILMAZ (@yilmazcanyigit).
rapportd
Soovime abi eest tunnustada Darmstadti Tehnikaülikooli töötajat Alexander Heinrichi (@Sn0wfreeze).
WebKit
Soovime abi eest tunnustada Google’i Project Zero liiget Samuel Großi.
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.