Teave watchOS 6.1.2 turbesisu kohta

Selles dokumendis kirjeldatakse watchOS 6.1.2 turbesisu.

Teave Apple'i turbevärskenduste kohta

Et kaitsta oma kliente, ei avalda, aruta ega kinnita Apple turbeprobleeme enne, kui uurimine on toimunud ja paigad või väljaanded on saadaval. Viimased väljaanded on Apple’i turbevärskenduste lehel.

Apple’i turbedokumentides viidatakse võimaluse korral CVE-ID loendis toodud nõrkustele.

Turbe kohta leiate lisateavet lehelt Apple’i toodete turve.

watchOS 6.1.2

Välja antud 28. jaanuaril 2020

AnnotationKit

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: kaugründaja võib rakenduse töö ootamatult lõpetada või omavoliliselt koodi rakendada.

Kirjeldus: lubamatu lugemise probleem lahendati täiustatud sisendandmete valideerimise kaudu.

CVE-2020-3877: algatusega Trend Micro's Zero Day Initiative koostööd tegev anonüümne uurija

Heli

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt süsteemiõiguste alusel koodi rakendada

Kirjeldus: mälu rikkumise probleem lahendati mäluhalduse täiustamise kaudu.

CVE-2020-3857: meeskonna Qihoo 360 Vulcan liige Zhuo Liang

ImageIO

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: pahatahtliku eesmärgiga koostatud kujutise töötlemine võib põhjustada koodi omavolilise rakendamise.

Kirjeldus: lubamatu lugemise probleem lahendati sisendandmete valideerimise täiustamise kaudu.

CVE-2020-3826: Google’i Project Zero liige Samuel Groß

CVE-2020-3870

CVE-2020-3878: Google Project Zero liige Samuel Groß

CVE-2020-3880: Google’i Project Zero liige Samuel Groß

Kirjet värskendati 4. aprillil 2020

IOAcceleratorFamily

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada

Kirjeldus: mälu rikkumise probleem lahendati mäluhalduse täiustamise kaudu.

CVE-2020-3837: Google’i Project Zero liige Brandon Azad

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib keelatud mälu lugeda

Kirjeldus: valideerimisprobleem lahendati sisendandmete täiustatud puhastamise abil.

CVE-2020-3875: Google Project Zero liige Brandon Azad

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: paharakendus võib määrata kernelimälu paigutuse

Kirjeldus: juurdepääsuprobleem lahendati mäluhalduse täiustamise kaudu.

CVE-2020-3836: Google Project Zero liige Brandon Azad

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib keelatud mälu lugeda

Kirjeldus: mälu kasutamise algatamise probleem lahendati mäluhalduse täiustamise kaudu.

CVE-2020-3872: Cognite’i töötajad Haakon Garseg Mørk ja Cim Stordal

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada

Kirjeldus: mälu rikkumise probleem lahendati mäluhalduse täiustamise kaudu.

CVE-2020-3842: Google’i Project Zero meeskonnaga koos töötav Ned Williamson

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada

Kirjeldus: mälu rikkumise probleem lahendati olekuhalduse täiustamise kaudu.

CVE-2020-3834: ettevõtte Alibaba Inc töötajad Xiaolong Bai ja Min (Spark) Zheng, Bloomingtoni Indiana Ülikooli õppur ja töötaja Luyi Xing

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt kerneliõiguste alusel koodi rakendada

Kirjeldus: mälu rikkumise probleem lahendati sisendandmete valideerimise täiustamise kaudu.

CVE-2020-3860: meeskonna Qihoo 360 Nirvan liige Proteas

Kernel

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: paharakendus võib omavoliliselt süsteemiõiguste alusel koodi rakendada

Kirjeldus: tüübieksituse probleem lahendati mäluhalduse täiustamise kaudu.

CVE-2020-3853: Google’i Project Zero liige Brandon Azad

libxml2

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Toime: pahatahtliku eesmärgiga koostatud XML-i töötlemine võib põhjustada rakenduse töö ootamatu lõpetamise või koodi omaalgatusliku rakendamise.

Kirjeldus: puhvermälu mahu ületamise probleem lahendati mahu valideerimise täiustamise kaudu.

CVE-2020-3846: Ranier Vilela

Kirje lisati 29. jaanuaril 2020

libxpc

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: pahatahtliku eesmärgiga koostatud stringi töötlemine võib põhjustada kuhja rikkumise

Kirjeldus: mälu rikkumise probleem lahendati sisendandmete valideerimise täiustamise kaudu.

CVE-2020-3856: Google’i Project Zero liige Ian Beer

libxpc

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib saada kõrgema taseme õigused

Kirjeldus: lubamatu lugemise probleem lahendati piiride kontrollimise täiustamise kaudu.

CVE-2020-3829: Google’i Project Zero liige Ian Beer

wifivelocityd

Saadaval Apple Watch Series 1 ja uuemate mudelite jaoks

Mõju: rakendus võib omavoliliselt süsteemiõiguste alusel koodi rakendada

Kirjeldus: probleem lahendati lubade andmise loogika täiustamise kaudu.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Lisatunnustus

IOSurface

Soovime abi eest tunnustada Liang Cheni (@chenliang0817).

Teavet toodete kohta, mida Apple pole tootnud, või sõltumatuid veebisaite, mida Apple ei kontrolli või pole testinud, pakutakse ilma soovituse või heakskiiduta. Apple ei võta kolmanda osapoole veebisaitide või toodete valiku, toimivuse või kasutamise eest mingit vastutust. Apple ei anna kolmanda osapoole veebisaidi täpsuse või usaldusväärsuse kohta mingeid tagatisi. Lisateabe saamiseks võtke ühendust pakkujaga.

Avaldamiskuupäev: