Teave watchOS 6.1.1 turbesisu kohta

Selles dokumendis kirjeldatakse operatsioonisüsteemi watchOS 6.1.1 turbesisu.

Teave Apple'i turbevärskenduste kohta

Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Hiljutised väljaanded on loetletud lehel Apple’i turbevärskendused.

Apple’i turbedokumentides on nõrkustele viitamiseks võimaluse korral kasutatud CVE-ID-d.

Lisateavet turbe kohta leiate lehelt Apple'i toodete turvalisus.

watchOS 6.1.1

Välja antud 10. detsembril 2019

CallKit

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: Siriga tehtud kõnesid võib kahe aktiivse plaaniga seadmetes algatada vale kärjeplaani abil

Kirjeldus: API-probleem Siriga algatatud väljuvate telefonikõnede käsitlemisel. Probleem lahendati olekukäsitlemise parandamisega.

CVE-2019-8856: Fabrice TERRANCLE, TERRANCLE SARL

CFNetwork

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: privilegeeritud võrguasendis asuv ründaja võib piiratud arvu konkreetsete tippdomeenide puhul, mida varem HSTS-i eellaadimise loendis ei olnud, olla võimeline HSTS-ist mööda minema

Kirjeldus: konfiguratsiooniprobleem lahendati täiendavate piirangutega.

CVE-2019-8834: Rob Sayre (@sayrer)

Kirje lisati 3. veebruaril 2020

CFNetwork Proxies

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib saada kõrgema taseme õigused

Kirjeldus: probleemi lahenduseks pakuti täiustatud kontrolle.

CVE-2019-8848: Zhuo Liang, Qihoo 360 Vulcan Team

FaceTime

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: pahatahtliku video töötlemine FaceTime’i kaudu võib viia suvalise koodi käitamiseni

Kirjeldus: lubamatu lugemise probleem lahendati täiustatud sisendandmete valideerimise kaudu.

CVE-2019-8830: Natalie Silvanovich, Google Project Zero

Tuum

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada

Kirjeldus: mälu rikkumise probleem lahendati haavatava koodi eemaldamisega.

CVE-2019-8833: Ian Beer, Google Project Zero

Tuum

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada

Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.

CVE-2019-8828: Cim Stordal, Cognite

CVE-2019-8838: Dr Silvio Cesare, InfoSect

libexpat

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: pahatahtlikult koostatud XML-faili parsimine võib viia kasutajateabe avalikustamiseni

Kirjeldus: probleem lahendati, ajakohastades versioonile 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: mitmesugused probleemid teegis libpcap

Kirjeldus: mitmesugused probleemid lahendati, ajakohastades libpcapi versioonile 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Kirje lisati 4. aprillil 2020

Turvalisus

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Toime: võimalik, et rakendus saab käivitada suvalise koodi süsteemiõigustega

Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.

CVE-2019-8832: Insu Yun, SSLab, Georgia Tech

WebKit

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi

Kirjeldus: mitmed mälu kahjustumise probleemid lahendati mälu parema käitlemisega.

CVE-2019-8844: William Bowling (@wcbowling)

Täiendav tunnustamine

Kontod

Täname abi eest: Allison Husain, UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling (Loughborough’ ülikool).

Kirjet uuendati 4. aprillil 2020

Põhiandmed

Täname abi eest Natalie Silvanovichi (Google Project Zero).

Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.

Avaldamiskuupäev: