Teave Apple’i turbevärskenduste kohta
Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Viimased väljaanded on loetletud Apple’i turbevärskenduste lehel.
Võimaluse korral viidatakse Apple’i turvadokumentides aadressil CVE-ID toodud turvaaukudele.
Lisateavet turvalisuse kohta leiate lehelt Apple’i toodete turvalisus.
watchOS 6
Välja antud 19. september 2019
Heli
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtliku loodud audiofaili töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mälu rikkumisega seotud probleem lahendati olekuhalduse parandamisega.
CVE-2019-8706: Yu Zhou, Ant-financial Light-Year Security Lab
Kirje lisati 29. oktoobril 2019
Heli
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlikult loodud audiofaili töötlemisel võidakse avaldada piirangutega mälu
Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8850: Trend Micro Zero Day algatusega koostööd tegev anonüümne panustaja
Kirje lisati 4. detsembril 2019
CFNetwork
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlikult loodud veebisisu töötlemine võib põhjustada saidiülese skriptimisrünnaku.
Kirjeldus: probleem lahendati kontrollide parandamisega.
CVE-2019-8753: Łukasz Pilorz, Standard Chartered GBS Poland
Kirje lisati 29. oktoobril 2019
CoreAudio
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlikult loodud filmi töötlemine võib põhjustada protsessimälu avalikustamise
Kirjeldus: mälu rikkumisega seotud probleem lahendati valideerimise parandamisega.
CVE-2019-8705: riusksk, VulWar Corp, koostöös Trend Micro's Zero Day algatusega
Kirje lisati 8. oktoobril 2019
CoreCrypto
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: suure sisendi töötlemine võib põhjustada teenuse keelamise
Kirjeldus: teenuse keelamise probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8741: Nicky Mouha, NIST
Kirje lisati 29. oktoobril 2019
Alus
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: kaugründaja võib põhjustada rakenduse ootamatu lõpetamise või suvalise koodi käitamise
Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8746: Natalie Silvanovich ja Samuel Groß (Google Project Zero)
Kirjet värskendati 29. oktoobril 2019 ja 11. veebruaril 2020
IOUSBDeviceFamily
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8718: Joshua Hill ja Sem Voigtländer
Kirje lisati 29. oktoobril 2019
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud haavatavus lahendati lukustuse parandamisega.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kirje lisati 29. oktoobril 2019
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: kohalik rakendus võib lugeda püsivat konto identifikaatorit
Kirjeldus: valideerimisprobleem lahendati loogika parandamisega.
CVE-2019-8809: Apple
Kirje lisati 29. oktoobril 2019
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemiõigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Kirje lisati 29. oktoobril 2019
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlik rakendus võib olla võimeline määrama tuuma mälu paigutuse
Kirjeldus: IPv6 pakettide käsitlemisel esines mälu rikkumise probleem. See probleem lahendati mäluhalduse parandamisega.
CVE-2019-8744: Zhuo Liang, Qihoo 360 Vulcan Team
Kirje lisati 29. oktoobril 2019
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati olekuhalduse parandamisega.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kirje lisati 29. oktoobril 2019
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8717: Jann Horn, Google Project Zero
Kirje lisati 8. oktoobril 2019
libxml2
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: mitmesugused probleemid teegiga libxml2
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati sisendi valideerimise parandamisega.
CVE-2019-8749: leidnud OSS-Fuzz
CVE-2019-8756: leidnud OSS-Fuzz
Kirje lisati 8. oktoobril 2019
mDNSResponder
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: füüsilises läheduses asuv ründaja võib olla võimeline AWDL-kommunikatsioonis seadme nimesid passiivselt jälgima
Kirjeldus: see probleem lahendati, asendades seadmete nimed juhusliku identifikaatoriga.
CVE-2019-8799: David Kreitschmann ja Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
Kirje lisati 29. oktoobril 2019
UIFoundation
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtliku loodud tekstifaili töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: puhvri ületäitumine lahendati piiride kontrollimise parandamisega.
CVE-2019-8745: riusksk, VulWar Corp, koostöös Trend Micro's Zero Day algatusega
Kirje lisati 8. oktoobril 2019
UIFoundation
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemiõigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8831: riusksk, VulWar Corp, koostöös Trend Micro's Zero Day algatusega
Kirje lisati 18. novembril 2019
WebKit
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtliku loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati mälu käsitlemise parandamisega.
CVE-2019-8710: leidnud OSS-Fuzz
CVE-2019-8728: Junho Jang (LINE Security Team) ja Hanul Choi (ABLY Corporation)
CVE-2019-8734: leidnud OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao, ADLab (Venustech) kaastöötaja
CVE-2019-8752: Dongzhuo Zhao, ADLab (Venustech) kaastöötaja
CVE-2019-8773: leidnud OSS-Fuzz
Kirje lisati 29. oktoobril 2019
Wi-Fi
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: seadet saab selle Wi-Fi MAC-aadressi abil passiivselt jälgida
Kirjeldus: kasutaja privaatsusprobleem lahendati edastus-MAC-aadressi eemaldamisega.
CVE-2019-8854: Ta-Lun Yen (UCCU Hacker) ja FuriousMacTeam (United States Naval Academy ja Mitre Cooperation)
Kirje lisati 4. detsembril 2019
Täiendavad tänusõnad
Heli
Täname abi eest: riusksk, VulWar Corp, Trend Micro’s Zero Day algatuse kaastöötaja.
Kirje lisati 29. oktoobril 2019
boringssl
Täname abi eest: Thijs Alkemade (@xnyhps), Computest.
Kirje lisati 8. oktoobril 2019
HomeKit
Täname abi eest: Tian Zhang.
Kirje lisati 29. oktoobril 2019
Tuum
Täname abi eest: Brandon Azad, Google Project Zero.
Kirje lisati 29. oktoobril 2019
mDNSResponder
Täname abi eest: Gregor Lang, e.solutions GmbH.
Kirje lisati 29. oktoobril 2019
Profiilid
Täname abi eest: Erik Johnson (Vernon Hillsi keskkool), James Seeley (@Code4iOS) (Shriver Job Corps).
Kirje lisati 29. oktoobril 2019
Safari
Täname abi eest: Yiğit Can YILMAZ (@yilmazcanyigit).
Kirjet värskendati 29. oktoobril 2019 ja 4. aprillil 2020
WebKit
Täname abi eest: MinJeong Kim (Infoturbe labor), Chungnami Riiklik Ülikool, JaeCheol Ryou (Infoturbe labor), Chungnami Riiklik Ülikool (Lõuna-Korea), Trend Micro’s Zero Day algatuse kaastöötaja.
Kirje lisati 29. oktoobril 2019