Teave watchOS 6 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi watchOS 6 turbesisu.
Teave Apple’i turbevärskenduste kohta
Selleks et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded saadaval. Viimased väljaanded on loetletud Apple’i turbevärskenduste lehel.
Võimaluse korral viidatakse Apple’i turvadokumentides aadressil CVE-ID toodud turvaaukudele.
Lisateavet turvalisuse kohta leiate lehelt Apple’i toodete turvalisus.
watchOS 6
Heli
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtliku loodud audiofaili töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mälu rikkumisega seotud probleem lahendati olekuhalduse parandamisega.
CVE-2019-8706: Yu Zhou, Ant-financial Light-Year Security Lab
Heli
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlikult loodud audiofaili töötlemisel võidakse avaldada piirangutega mälu
Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8850: Trend Micro Zero Day algatusega koostööd tegev anonüümne panustaja
CFNetwork
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlikult loodud veebisisu töötlemine võib põhjustada saidiülese skriptimisrünnaku.
Kirjeldus: probleem lahendati kontrollide parandamisega.
CVE-2019-8753: Łukasz Pilorz, Standard Chartered GBS Poland
CoreAudio
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlikult loodud filmi töötlemine võib põhjustada protsessimälu avalikustamise
Kirjeldus: mälu rikkumisega seotud probleem lahendati valideerimise parandamisega.
CVE-2019-8705: riusksk, VulWar Corp, koostöös Trend Micro's Zero Day algatusega
CoreCrypto
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: suure sisendi töötlemine võib põhjustada teenuse keelamise
Kirjeldus: teenuse keelamise probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8741: Nicky Mouha, NIST
Alus
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: kaugründaja võib põhjustada rakenduse ootamatu lõpetamise või suvalise koodi käitamise
Kirjeldus: piire ületavate andmete probleem lahendati sisendi valideerimise parandamisega.
CVE-2019-8746: Natalie Silvanovich ja Samuel Groß (Google Project Zero)
IOUSBDeviceFamily
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8718: Joshua Hill ja Sem Voigtländer
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud haavatavus lahendati lukustuse parandamisega.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: kohalik rakendus võib lugeda püsivat konto identifikaatorit
Kirjeldus: valideerimisprobleem lahendati loogika parandamisega.
CVE-2019-8809: Apple
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemiõigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtlik rakendus võib olla võimeline määrama tuuma mälu paigutuse
Kirjeldus: IPv6 pakettide käsitlemisel esines mälu rikkumise probleem. See probleem lahendati mäluhalduse parandamisega.
CVE-2019-8744: Zhuo Liang, Qihoo 360 Vulcan Team
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati olekuhalduse parandamisega.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Tuum
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi tuuma õigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8717: Jann Horn, Google Project Zero
libxml2
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: mitmesugused probleemid teegiga libxml2
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati sisendi valideerimise parandamisega.
CVE-2019-8749: leidnud OSS-Fuzz
CVE-2019-8756: leidnud OSS-Fuzz
mDNSResponder
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: füüsilises läheduses asuv ründaja võib olla võimeline AWDL-kommunikatsioonis seadme nimesid passiivselt jälgima
Kirjeldus: see probleem lahendati, asendades seadmete nimed juhusliku identifikaatoriga.
CVE-2019-8799: David Kreitschmann ja Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
UIFoundation
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtliku loodud tekstifaili töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: puhvri ületäitumine lahendati piiride kontrollimise parandamisega.
CVE-2019-8745: riusksk, VulWar Corp, koostöös Trend Micro's Zero Day algatusega
UIFoundation
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: rakendus võib olla võimeline suvalist koodi süsteemiõigustega käitama
Kirjeldus: mälu rikkumisega seotud probleem lahendati mälukäsitluse parandamisega.
CVE-2019-8831: riusksk, VulWar Corp, koostöös Trend Micro's Zero Day algatusega
WebKit
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: pahatahtliku loodud veebisisu töötlemine võib viia juhusliku koodi käitamiseni
Kirjeldus: mitmesugused mälu rikkumisega seotud probleemid lahendati mälu käsitlemise parandamisega.
CVE-2019-8710: leidnud OSS-Fuzz
CVE-2019-8728: Junho Jang (LINE Security Team) ja Hanul Choi (ABLY Corporation)
CVE-2019-8734: leidnud OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao, ADLab (Venustech) kaastöötaja
CVE-2019-8752: Dongzhuo Zhao, ADLab (Venustech) kaastöötaja
CVE-2019-8773: leidnud OSS-Fuzz
Wi-Fi
Saadaval: Apple Watch Series 3 ja uuemate versioonide jaoks
Mõju: seadet saab selle Wi-Fi MAC-aadressi abil passiivselt jälgida
Kirjeldus: kasutaja privaatsusprobleem lahendati edastus-MAC-aadressi eemaldamisega.
CVE-2019-8854: Ta-Lun Yen (UCCU Hacker) ja FuriousMacTeam (United States Naval Academy ja Mitre Cooperation)
Täiendavad tänusõnad
Heli
Täname abi eest: riusksk, VulWar Corp, Trend Micro’s Zero Day algatuse kaastöötaja.
boringssl
Täname abi eest: Thijs Alkemade (@xnyhps), Computest.
HomeKit
Täname abi eest: Tian Zhang.
Tuum
Täname abi eest: Brandon Azad, Google Project Zero.
mDNSResponder
Täname abi eest: Gregor Lang, e.solutions GmbH.
Profiilid
Täname abi eest: Erik Johnson (Vernon Hillsi keskkool), James Seeley (@Code4iOS) (Shriver Job Corps).
Safari
Täname abi eest: Yiğit Can YILMAZ (@yilmazcanyigit).
WebKit
Täname abi eest: MinJeong Kim (Infoturbe labor), Chungnami Riiklik Ülikool, JaeCheol Ryou (Infoturbe labor), Chungnami Riiklik Ülikool (Lõuna-Korea), Trend Micro’s Zero Day algatuse kaastöötaja.
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.