אודות תוכן האבטחה של watchOS 6
מסמך זה מתאר את תוכן האבטחה של watchOS 6.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 6
שמע
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8706: יו ג'ואו מ-Ant-Financial Light-Year Security Lab
שמע
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8850: אנונימי יחד עם Zero Day Initiative של Trend Micro
CFNetwork
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2019-8753: לוקאס פילורז מ-Standard Chartered GBS Poland
CoreAudio
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד של סרט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2019-8705: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
CoreCrypto
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קלט גדול עלול להוביל למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2019-8741: ניקי מוהא מ-NIST
יסוד
זמין עבור: Apple Watch Series 3 ואילך
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של יישום או להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8746: נטאשנקה וסמואל גרוס מ-Google Project Zero
IOUSBDeviceFamily
זמין עבור: Apple Watch Series 3 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8718: ג'ושוע היל וסם פוקטלאנדר
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות זכאויות משופרות.
CVE-2019-8703: חוקר אנונימי
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2019-8740: מוחמד גנם (@_simo36)
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה מקומית עלולה לקרוא מזהה חשבון מתמיד
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2019-8809: Apple
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8712: מוחמד גנם (@_simo36)
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה
תיאור: בעיית השחתת זיכרון הייתה קיימת בטיפול במנות IPv6. בעיה זו טופלה באמצעות ניהול זיכרון משופר.
CVE-2019-8744: ז'ואו ליאנג מ-Qihoo 360 Vulcan Team
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8709: דרק (@derrekr6) דרק (@derrekr6)
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8717: יאן הורן מ-Google Project Zero
libxml2
זמין עבור: Apple Watch Series 3 ואילך
השפעה: מספר בעיות ב-libxml2
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2019-8749: התגלה על-ידי OSS-Fuzz
CVE-2019-8756: התגלה על-ידי OSS-Fuzz
mDNSResponder
זמין עבור: Apple Watch Series 3 ואילך
השפעה: תוקף שנמצא בקרבת מקום עלול להצליח להתבונן בצורה פסיבית בשמות מכשירים בתקשורת AWDL
תיאור: בעיה זו נפתרה על-ידי החלפת שמות מכשירים עם מזהה אקראי.
CVE-2019-8799: דייוויד קרייטשמן ומילאן סטוט מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרמשטאדט
UIFoundation
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2019-8745: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
UIFoundation
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8831: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2019-8710: התגלה על-ידי OSS-Fuzz
CVE-2019-8728: ג'ונהו ג'אנג מ-LINE Security Team והאנול צ'וי מ-ABLY Corporation
CVE-2019-8734: התגלה על-ידי OSS-Fuzz
CVE-2019-8751: דונגג'ו ג'או בעבודה עם ADLab של Venustech
CVE-2019-8752: דונגג'ו ג'או בעבודה עם ADLab של Venustech
CVE-2019-8773: התגלה על-ידי OSS-Fuzz
Wi-Fi
זמין עבור: Apple Watch Series 3 ואילך
השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו
תיאור: בעיית פרטיות משתמש טופלה על ידי הסרת כתובת ה-MAC המשודרת.
CVE-2019-8854: טא-לון ין מ-UCCU Hacker וצוות FuriousMac מהאקדמיה הימית של ארה"ב ו-Mitre Corporation
תודות נוספות
שמע
אנחנו מבקשים להודות ל-riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro על הסיוע.
boringssl
אנחנו מבקשים להודות לתייס אלקמדה (@xnyhps) מ-Computest על הסיוע.
HomeKit
אנחנו מבקשים להודות לטיאן ז'אנג על הסיוע.
ליבה
אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.
mDNSResponder
אנחנו מבקשים להודות לגרגור לאנג מ-e.solutions GmbH על הסיוע.
פרופילים
אנחנו מבקשים להודות לאריק ג'ונסון מביה"ס התיכון ורנון הילס ולג'יימס סילי (@Code4iOS) מ-Shriver Job Corps על הסיוע.
Safari
ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ) (@yilmazcanyigit) על העזרה.
WebKit
אנחנו מבקשים להודות למין-ג'אונג קים מ-Information Security Lab, האוניברסיטה הלאומית של צ'ונגנאם, לג'י-צ'אול ריו מ-Information Security Lab, האוניברסיטה הלאומית של צ'ונגנאם בדרום קוריאה ול-cc שעובד עם Zero Day Initiative של Trend Micro על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.