אודות תוכני האבטחה של watchOS 6

מסמך זה מתאר את תוכני האבטחה של watchOS 6

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 6

הופץ ב-19 בספטמבר 2019

שמע

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8706: יו ג'ואו מ-Ant-financial Light-Year Security Lab

הערך נוסף ב-29 באוקטובר 2019

שמע

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8850:‏ אנונימי יחד עם Zero Day Initiative של Trend Micro

הערך נוסף ב-4 בדצמבר 2019

CFNetwork

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8753:‏ לוקאס פילורז מ-Standard Chartered GBS Poland

הערך נוסף ב-29 באוקטובר 2019

CoreAudio

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד של סרט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיית השחתת הזיכרון טופלה באמצעות שיפור האימות.

CVE-2019-8705: ‏riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-8 באוקטובר 2019

CoreCrypto

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד קלט גדול עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.

CVE-2019-8741: ניקי מוהא מ-NIST

הערך נוסף ב-29 באוקטובר 2019

יסוד

זמין עבור: Apple Watch Series 3 ואילך

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או הפעלה של קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8746: נטלי סילבנוביץ' וסמואל גרוס מ-Google Project Zero

הערך עודכן ב-29 באוקטובר 2019, עודכן ב-11 בפברואר 2020

IOUSBDeviceFamily

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8718: ג'ושוע היל וסם פוקטלאנדר

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.

CVE-2019-8740: מוחמד ע'נאם (‎@_simo36)

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה מקומית עלולה לקרוא מזהה חשבון מתמיד

תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.

CVE-2019-8809:‏ Apple

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8712: מוחמד ע'נאם (‎@_simo36)

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה זדונית עלולה לקבוע את מבנה זיכרון הליבה

תיאור: בעיית השחתת זיכרון הייתה קיימת בטיפול במנות IPv6. בעיה זו טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2019-8744: ‏ז'ואו ליאנג מ-Qihoo 360 Vulcan Team

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2019-8709: דרק (‎@derrekr6) דרק (‎@derrekr6)

הערך נוסף ב-29 באוקטובר 2019

ליבה

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8717:‏ יאן הורן מ-Google Project Zero

הערך נוסף ב-8 באוקטובר 2019

libxml2

זמין עבור: Apple Watch Series 3 ואילך

השפעה: מספר בעיות ב-libxml2

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.

CVE-2019-8749: התגלה על-ידי OSS-Fuzz

CVE-2019-8756: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-8 באוקטובר 2019

mDNSResponder

זמין עבור: Apple Watch Series 3 ואילך

השפעה: תוקף שנמצא בקרבת מקום עלול להצליח להתבונן בצורה פסיבית בשמות מכשירים בתקשורת AWDL

תיאור: בעיה זו נפתרה על-ידי החלפת שמות מכשירים עם מזהה אקראי.

CVE-2019-8799: דייוויד קרייטשמן ומילאן סטוט מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרמשטאדט

הערך נוסף ב-29 באוקטובר 2019

UIFoundation

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי

תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.

CVE-2019-8745:‏ riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-8 באוקטובר 2019

UIFoundation

זמין עבור: Apple Watch Series 3 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8831:‏ riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro

הערך נוסף ב-18 בנובמבר 2019

WebKit

זמין עבור: Apple Watch Series 3 ואילך

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2019-8710: התגלה על-ידי OSS-Fuzz

CVE-2019-8728: ג'ונהו ג'אנג מ-LINE Security Team והאנול צ'וי מ-ABLY Corporation

CVE-2019-8734: התגלה על-ידי OSS-Fuzz

CVE-2019-8751: דונגג'ו ג'או בעבודה עם ADLab של Venustech

CVE-2019-8752: דונגג'ו ג'או בעבודה עם ADLab של Venustech

CVE-2019-8773: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-29 באוקטובר 2019

Wi-Fi

זמין עבור: Apple Watch Series 3 ואילך

השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC של רשת ה-Wi-Fi שלו

תיאור: בעיית פרטיות משתמש טופלה על ידי הסרת כתובת ה-MAC המשודרת.

CVE-2019-8854: טא-לון ין מ-UCCU Hacker וצוות FuriousMac מהאקדמיה הימית של ארה"ב ו-Mitre Corporation

הערך נוסף ב-4 בדצמבר 2019

תודות נוספות

שמע

אנחנו מבקשים להודות ל-riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

boringssl

אנחנו מבקשים להודות לתייס אלקמדה ‏(‎@xnyhps) מ-Computest על הסיוע.

הערך נוסף ב-8 באוקטובר 2019

HomeKit

אנחנו מבקשים להודות לטיאן ז'אנג על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

ליבה

אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

mDNSResponder

אנחנו מבקשים להודות לגרגור לאנג מ-e.solutions GmbH על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

פרופילים

אנחנו מבקשים להודות לאריק ג'ונסון מביה"ס התיכון ורנון הילס ולג'יימס סילי (@Code4iOS) מ-Shriver Job Corps על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

Safari

ברצוננו להודות לייגיט קאן יילמז (@yilmazcanyigit) על העזרה.

הערך נוסף ב-29 באוקטובר 2019, עודכן ב-4 באפריל 2020

WebKit

אנחנו מבקשים להודות למין-ג'אונג קים מ-Information Security Lab, האוניברסיטה הלאומית של צ'ונגנאם, לג'י-צ'אול ריו מ-Information Security Lab, האוניברסיטה הלאומית של צ'ונגנאם בדרום קוריאה ול-cc שעובד עם Zero Day Initiative של Trend Micro על הסיוע.

הערך נוסף ב-29 באוקטובר 2019

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: 05 באוגוסט 2020