Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
watchOS 6.1
Julkaistu 29.10.2019
Tilit
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)
AirDrop
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: AirDrop-siirrot voidaan odottamatta hyväksyä Kaikki-tilassa.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2019-8796: Allison Husain (UC Berkeley)
Kohta päivitetty 4.4.2020
App Store
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä kirjautumaan aiemmin kirjautuneen käyttäjän tilille ilman kelvollisia tunnistetietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Ääni
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa
Yhteystiedot
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Haitallisen yhteystiedon käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH, to.com)
Tiedostojärjestelmän tapahtumat
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8798: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kernel
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2019-8794: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa
Kernel
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8786: Wen Xu (Georgia Tech), Microsoft Offensive Security Researchin harjoittelija
Kohta päivitetty 18.11.2019
Kernel
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2019-8829: Jann Horn (Google Project Zero)
Kohta lisätty 8.11.2019
libxslt
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: libxslt:ssä esiintyy useita ongelmia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2019-8750: ongelman havaitsi OSS-Fuzz
VoiceOver
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2019-8775: videosdebarraquito
WebKit
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8764: Sergei Glazunov (Google Project Zero)
WebKit
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8743: zhunki (Codesafe Team, Legendsec, Qi'anxin Group)
CVE-2019-8765: Samuel Groß (Google Project Zero)
CVE-2019-8766: ongelman havaitsi OSS-Fuzz
CVE-2019-8808: ongelman havaitsi OSS-Fuzz
CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)
CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8820: Samuel Groß (Google Project Zero)
Kohta päivitetty 18.11.2019
Kiitokset
boringssl
Haluamme kiittää Tel Avivin yliopiston Nimrod Aviramia ja Ruhrin yliopiston Bochumin kampuksen Robert Mergetia ja Juraj Somorovskya heidän avustaan.
CFNetwork
Haluamme kiittää Googlen Lily Cheniä hänen avustaan.
Kernel
Haluamme kiittää Daniel Roethlisbergeriä (Swisscom CSIRT) ja Jann Hornia (Google Project Zero) heidän avustaan.
Kohta päivitetty 8.11.2019
Safari
Haluamme kiittää Ron Summersia ja Ronald van der Meeriä heidän avustaan.
Kohta päivitetty 11.2.2020
WebKit
Haluamme kiittää Zhiyi Zhangia (Codesafe Team, Legendsec, Qi'anxin Group) hänen avustaan.