Tietoja watchOS 5.3:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 5.3:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.

watchOS 5.3

Julkaistu 22.7.2019

Bluetooth

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi katkaista Bluetooth-liikenteen (Bluetoothin avainneuvottelut – Key Negotiation of Bluetooth, KNOB).

Kuvaus: Bluetoothissa oli annettujen tietojen vahvistusongelma. Ongelma on ratkaistu parantamalla annettujen tietojen validointia.

CVE-2019-9506: Daniele Antonioli (SUTD, Singapore), Dr. Nils Ole Tippenhauer (CISPA, Saksa) ja Prof. Kasper Rasmussen (University of Oxford, Englanti)

Kohta lisätty 13.8.2019

Perustiedot

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Perustiedot

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2019-8647: Samuel Groß ja Natalie Silvanovich (Google Project Zero)

Perustiedot

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8660: Samuel Groß ja Natalie Silvanovich (Google Project Zero)

Digital Touch

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8624: Natalie Silvanovich (Google Project Zero)

FaceTime

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8648: Tao Huang ja Tielei Wang (Team Pangu)

Heimdal

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Sambassa esiintyi ongelma, jonka vuoksi hyökkääjät saattoivat pystyä suorittamaan luvattomia toimintoja hankkimalla tietoonsa palveluiden välistä viestintää.

Kuvaus: Ongelma on ratkaistu parannetuilla tarkistuksilla luvattomien toimintojen estämiseksi.

CVE-2018-16860: Isaac Boukris ja Andrew Bartlett (Samba Team ja Catalyst)

Kuvankäsittely

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2019-8668: nimetön tutkija

Kohta lisätty 8.10.2019

Kernel

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.

Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.

CVE-2019-8633: Zhuo Liang (Qihoo 360 Vulcan Team)

Kohta lisätty 17.9.2019

libxslt

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä näkemään arkaluonteisia tietoja.

Kuvaus: Pinon ylivuotoon liittyvä ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2019-13118: ongelman havaitsi OSS-Fuzz

Viestit

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: iMessage-keskusteluista poistetut henkilöt saattoivat edelleen pystyä muuttamaan tilaa.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen (University of Oregon)

Viestit

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla vahvistamista.

CVE-2019-8665: Michael Hernandez (XYZ Marketing)

Pikakatselu

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Hyökkääjä saattoi pystyä laukaisemaan use-after-free-ongelman ohjelmassa poistaen ei-luotetun NSDictionaryn sarjoituksen.

Kuvaus: Ongelma on ratkaistu parantamalla tarkistuksia.

CVE-2019-8662: Natalie Silvanovich ja Samuel Groß (Google Project Zero)

Siri

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

UIFoundation

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Haitallisen Office-dokumentin jäsentäminen saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2019-8657: riusksk (VulWar Corp) yhteistyössä Trend Micron Zero Day Initiativen kanssa

Wallet

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Käyttäjä saattoi suorittaa apin sisäisen oston tahattomasti lukitulta näytöltä.

Kuvaus: Ongelma on ratkaistu parantamalla käyttöliittymän käsittelyä.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.

Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.

CVE-2019-8658: Trend Micron Zero Day Initiativen parissa työskentelevä akayn

WebKit

Saatavuus: Apple Watch Series 1 ja uudemmat

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2019-8669: Trend Micron Zero Day Initiativen parissa työskentelevä akayn

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8676: Soyeon Park ja Wen Xu (SSLab, Georgia Tech)

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao (yhteystyössä Venustechin ADLabin kanssa), Ken Wong (@wwkenwong) (VXRL), Anthony Lai (@darkfloyd1014) (VXRL) ja Eric Lung (@Khlung1) (VXRL)

CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Kiitokset

MobileInstallation

Haluamme kiittää Dany Lisianskya (@DanyL931) hänen avustaan.

 

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: