Teave watchOS 6.1.1 turbesisu kohta
Selles dokumendis kirjeldatakse operatsioonisüsteemi watchOS 6.1.1 turbesisu.
Teave Apple'i turbevärskenduste kohta
Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Hiljutised väljaanded on loetletud lehel Apple’i turbevärskendused.
Apple’i turbedokumentides on nõrkustele viitamiseks võimaluse korral kasutatud CVE-ID-d.
Lisateavet turbe kohta leiate lehelt Apple'i toodete turvalisus.
watchOS 6.1.1
CallKit
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: Siriga tehtud kõnesid võib kahe aktiivse plaaniga seadmetes algatada vale kärjeplaani abil
Kirjeldus: API-probleem Siriga algatatud väljuvate telefonikõnede käsitlemisel. Probleem lahendati olekukäsitlemise parandamisega.
CVE-2019-8856: Fabrice TERRANCLE, TERRANCLE SARL
CFNetwork
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: privilegeeritud võrguasendis asuv ründaja võib piiratud arvu konkreetsete tippdomeenide puhul, mida varem HSTS-i eellaadimise loendis ei olnud, olla võimeline HSTS-ist mööda minema
Kirjeldus: konfiguratsiooniprobleem lahendati täiendavate piirangutega.
CVE-2019-8834: Rob Sayre (@sayrer)
CFNetwork Proxies
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib saada kõrgema taseme õigused
Kirjeldus: probleemi lahenduseks pakuti täiustatud kontrolle.
CVE-2019-8848: Zhuo Liang, Qihoo 360 Vulcan Team
FaceTime
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: pahatahtliku video töötlemine FaceTime’i kaudu võib viia suvalise koodi käitamiseni
Kirjeldus: lubamatu lugemise probleem lahendati täiustatud sisendandmete valideerimise kaudu.
CVE-2019-8830: Natalie Silvanovich, Google Project Zero
Tuum
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada
Kirjeldus: mälu rikkumise probleem lahendati haavatava koodi eemaldamisega.
CVE-2019-8833: Ian Beer, Google Project Zero
Tuum
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2019-8828: Cim Stordal, Cognite
CVE-2019-8838: Dr Silvio Cesare, InfoSect
libexpat
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: pahatahtlikult koostatud XML-faili parsimine võib viia kasutajateabe avalikustamiseni
Kirjeldus: probleem lahendati, ajakohastades versioonile 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Mõju: mitmesugused probleemid teegis libpcap
Kirjeldus: mitmesugused probleemid lahendati, ajakohastades libpcapi versioonile 1.9.1
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Turvalisus
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Toime: võimalik, et rakendus saab käivitada suvalise koodi süsteemiõigustega
Kirjeldus: mälu kahjustumise probleem lahendati mälu parema käitlemisega.
CVE-2019-8832: Insu Yun, SSLab, Georgia Tech
WebKit
Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks
Toime: pahatahtliku sisuga veebisisu töötlemine võib käivitada suvalise koodi
Kirjeldus: mitmed mälu kahjustumise probleemid lahendati mälu parema käitlemisega.
CVE-2019-8844: William Bowling (@wcbowling)
Täiendav tunnustamine
Kontod
Täname abi eest: Allison Husain, UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling (Loughborough’ ülikool).
Põhiandmed
Täname abi eest Natalie Silvanovichi (Google Project Zero).
Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.