אודות תוכני האבטחה של watchOS 5.2.1

מסמך זה מתאר את תוכני האבטחה של watchOS 5.2.1.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 5.2.1

הופץ ב-13 במאי 2019

AppleFileConduit

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8593: ‏דני ליסיאנסקי ‏(‎@DanyL931)

CoreAudio

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד קובץ סרט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8585: ‏riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro

CoreAudio

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בשגיאות.

CVE-2019-8592: ‏riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro

הערך נוסף ב-1 באוגוסט 2019

דמויות כונן

זמין עבור: Apple Watch Series 1 ואילך

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2019-8560: ניקיטה פופישב מ-Bauman Moscow State Technological University

הערך עודכן ב-30 במאי 2019

ליבה

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2019-8605: נד ויליאמסון יחד עם Google Project Zero

ליבה

זמין עבור: Apple Watch Series 1 ואילך

השפעה: משתמש מקומי עלול להצליח לגרום לסיום בלתי צפוי של המערכת או לקריאת זיכרון ליבה

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2019-8576: ‏ברנדון אזאד מ-Google Project Zero, ‏ג'ונו ג'אנג והנול צ'וי מ-LINE Security Team

הערך עודכן ב-30 במאי 2019

ליבה

זמין עבור: Apple Watch Series 1 ואילך

השפעה: ייתכן שאפליקציה תוכל לגרום לסיום בלתי צפוי של המערכת או לכתוב זיכרון ליבה

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8591: נד ויליאמסון יחד עם Google Project Zero

דואר

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8626: נטאשנקה מ-Google Project Zero

Mail Message Framework

זמין עבור: Apple Watch Series 1 ואילך

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2019-8613: נטאשנקה מ-Google Project Zero

הודעות

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8664: נטאשנקה מ-Google Project Zero

הערך נוסף ב-1 באוגוסט 2019

הודעות

זמין עבור: Apple Watch Series 1 ואילך

השפעה: ייתכן שתוקף מרוחק יוכל לגרום לדחיית שירות במערכת

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8573: נטאשנקה מ-Google Project Zero

הרשומה נוספה ב-3 ביולי 2019

הודעות

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8664: נטאשנקה מ-Google Project Zero

הרשומה נוספה ב-3 ביולי 2019

התקנה במכשירים ניידים

זמין עבור: Apple Watch Series 1 ואילך

השפעה: ייתכן שמשתמש מקומי יוכל לשנות חלקים מוגנים במערכת הקבצים

תיאור: בטיפול בקישורי symlink הייתה בעיית אימות. בעיה זו טופלה באמצעות אימות משופר של קישורים סימבוליים.

CVE-2019-8568: ‏דני ליסיאנסקי ‏(‎@DanyL931)

MobileLockdown

זמין עבור: Apple Watch Series 1 ואילך

השפעה: ייתכן שאפליקציה זדונית תצליח לקבל הרשאות בסיס

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8637: ‏דני ליסיאנסקי ‏(‎@DanyL931)

SQLite

זמין עבור: Apple Watch Series 1 ואילך

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיית אימות קלט טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8577: ‏עומר גל מ-Checkpoint Research

SQLite

זמין עבור: Apple Watch Series 1 ואילך

השפעה: שאילתת SQL בעלת מבנה זדוני עלולה להוביל להפעלת קוד שרירותי

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2019-8600: ‏עומר גל מ-Checkpoint Research

SQLite

זמין עבור: Apple Watch Series 1 ואילך

השפעה: יישום זדוני עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות קלט טופלה באמצעות אימות קלט משופר.

CVE-2019-8598: עומר גל מ-Checkpoint Research

SQLite

זמין עבור: Apple Watch Series 1 ואילך

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8602: עומר גל מ-Checkpoint Research

sysdiagnose

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2019-8574: דייטון פידהירני ‏(‎@_watbulb) מ-Seekintoo ‏(‎@seekintoo)

הרשומה עודכנה ב-3 בפברואר 2020

WebKit

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8607:‏ ג'ונו ג'נג והנול צ'וי מ-LINE Security Team

WebKit

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2019-8583: ‏sakura מ-Tencent Xuanwu Lab, ‏jessica ‏(‎@babyjess1ca_‎) מ-Tencent Keen Lab ו-dwfault ב-ADLab of Venustech

CVE-2019-8601:‏ Fluoroacetate יחד עם Zero Day Initiative של Trend Micro

CVE-2019-8622:‏ סמואל גרוס מ-Google Project Zero

CVE-2019-8623:‏ סמואל גרוס מ-Google Project Zero

Wi-Fi

זמין עבור: Apple Watch Series 1 ואילך

השפעה: תוקף במיקום מורשה ברשת עלול להצליח לשנות מצב של מנהל התקן

תיאור: בעיה לוגית טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8612: ‏מילאן סטוט מ-Secure Mobile Networking Lab מהאוניברסיטה הטכנית של דרמשטאדט

הערך נוסף ב-30 במאי 2019

Wi-Fi

זמין עבור: Apple Watch Series 1 ואילך

השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC האלחוטית שלו

תיאור: בעיית פרטיות משתמש טופלה על ידי הסרת כתובת ה-MAC המשודרת.

CVE-2019-8620: דייוויד קרייטשמן ומילאן סטוט מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרמשטאדט

תודות נוספות

Clang

אנחנו מבקשים להודות לברנדון אזאד (Brandon Azad) מ-Google Project Zero על הסיוע.

CoreAudio

אנחנו מבקשים להודות ל-riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro על הסיוע.

הרשומה נוספה ב-25 ביולי 2019

CoreFoundation

אנחנו מבקשים להודות ל-Vozzie ול-Rami ול-m4bln, שיאנגצ'יאן ז'אנג, הוימינג ליו מ-Xuanwu Lab של Tencent על הסיוע.

ליבה

אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero ולחוקר אנונימי על הסיוע.

MediaLibrary

אנחנו מבקשים להודות לאנחל רמירס ולמין (ספארק) ג'נג ולשיאולונג באי מ-Alibaba Inc.‎ על הסיוע.

התקנה במכשירים ניידים

ברצוננו להודות לייגיט קאן יילמז (Yiğit Can YILMAZ)‏ (‎@yilmazcanyigit) על העזרה.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 15 במרץ 2021