אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 6
הופץ ב-19 בספטמבר 2019
שמע
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8706: יו ג'ואו מ-Ant-financial Light-Year Security Lab
הערך נוסף ב-29 באוקטובר 2019
שמע
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8850: אנונימי יחד עם Zero Day Initiative של Trend Micro
הערך נוסף ב-4 בדצמבר 2019
CFNetwork
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום להתקפת Scripting בין אתרים
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2019-8753: לוקאס פילורז מ-Standard Chartered GBS Poland
הערך נוסף ב-29 באוקטובר 2019
CoreAudio
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד של סרט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית השחתת הזיכרון טופלה באמצעות שיפור האימות.
CVE-2019-8705: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
הערך נוסף ב-8 באוקטובר 2019
CoreCrypto
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קלט גדול עלול להוביל למניעת שירות
תיאור: בעיית מניעת שירות טופלה באמצעות אימות קלט משופר.
CVE-2019-8741: ניקי מוהא מ-NIST
הערך נוסף ב-29 באוקטובר 2019
יסוד
זמין עבור: Apple Watch Series 3 ואילך
השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או הפעלה של קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8746: נטלי סילבנוביץ' וסמואל גרוס מ-Google Project Zero
הערך עודכן ב-29 באוקטובר 2019, עודכן ב-11 בפברואר 2020
IOUSBDeviceFamily
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8718: ג'ושוע היל וסם פוקטלאנדר
הערך נוסף ב-29 באוקטובר 2019
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: נקודת תורפה של השחתת זיכרון טופלה באמצעות נעילה משופרת.
CVE-2019-8740: מוחמד ע'נאם (@_simo36)
הערך נוסף ב-29 באוקטובר 2019
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה מקומית עלולה לקרוא מזהה חשבון מתמיד
תיאור: בעיית אימות טופלה באמצעות לוגיקה משופרת.
CVE-2019-8809: Apple
הערך נוסף ב-29 באוקטובר 2019
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8712: מוחמד ע'נאם (@_simo36)
הערך נוסף ב-29 באוקטובר 2019
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה זדונית עלולה לקבוע את מבנה זיכרון הליבה
תיאור: בעיית השחתת זיכרון הייתה קיימת בטיפול במנות IPv6. בעיה זו טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2019-8744: ז'ואו ליאנג מ-Qihoo 360 Vulcan Team
הערך נוסף ב-29 באוקטובר 2019
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8709: דרק (@derrekr6) דרק (@derrekr6)
הערך נוסף ב-29 באוקטובר 2019
ליבה
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8717: יאן הורן מ-Google Project Zero
הערך נוסף ב-8 באוקטובר 2019
libxml2
זמין עבור: Apple Watch Series 3 ואילך
השפעה: מספר בעיות ב-libxml2
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות שיפור אימות הקלט.
CVE-2019-8749: התגלה על-ידי OSS-Fuzz
CVE-2019-8756: התגלה על-ידי OSS-Fuzz
הערך נוסף ב-8 באוקטובר 2019
mDNSResponder
זמין עבור: Apple Watch Series 3 ואילך
השפעה: תוקף שנמצא בקרבת מקום עלול להצליח להתבונן בצורה פסיבית בשמות מכשירים בתקשורת AWDL
תיאור: בעיה זו נפתרה על-ידי החלפת שמות מכשירים עם מזהה אקראי.
CVE-2019-8799: דייוויד קרייטשמן ומילאן סטוט מ-Secure Mobile Networking Lab באוניברסיטה הטכנית של דרמשטאדט
הערך נוסף ב-29 באוקטובר 2019
UIFoundation
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2019-8745: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
הערך נוסף ב-8 באוקטובר 2019
UIFoundation
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8831: riusksk מ-VulWar Corp בעבודה עם Zero Day Initiative של Trend Micro
הערך נוסף ב-18 בנובמבר 2019
WebKit
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2019-8710: התגלה על-ידי OSS-Fuzz
CVE-2019-8728: ג'ונהו ג'אנג מ-LINE Security Team והאנול צ'וי מ-ABLY Corporation
CVE-2019-8734: התגלה על-ידי OSS-Fuzz
CVE-2019-8751: דונגג'ו ג'או בעבודה עם ADLab של Venustech
CVE-2019-8752: דונגג'ו ג'או בעבודה עם ADLab של Venustech
CVE-2019-8773: התגלה על-ידי OSS-Fuzz
הערך נוסף ב-29 באוקטובר 2019
Wi-Fi
זמין עבור: Apple Watch Series 3 ואילך
השפעה: מכשיר עלול להיות במעקב פאסיבי לפי כתובת ה-MAC של רשת ה-Wi-Fi שלו
תיאור: בעיית פרטיות משתמש טופלה על ידי הסרת כתובת ה-MAC המשודרת.
CVE-2019-8854: טא-לון ין מ-UCCU Hacker וצוות FuriousMac מהאקדמיה הימית של ארה"ב ו-Mitre Corporation
הערך נוסף ב-4 בדצמבר 2019
תודות נוספות
שמע
אנחנו מבקשים להודות ל-riusksk מ-VulWar Corp יחד עם Zero Day Initiative של Trend Micro על הסיוע.
הערך נוסף ב-29 באוקטובר 2019
boringssl
אנחנו מבקשים להודות לתייס אלקמדה (@xnyhps) מ-Computest על הסיוע.
הערך נוסף ב-8 באוקטובר 2019
HomeKit
אנחנו מבקשים להודות לטיאן ז'אנג על הסיוע.
הערך נוסף ב-29 באוקטובר 2019
ליבה
אנחנו מבקשים להודות לברנדון אזאד מ-Google Project Zero על הסיוע.
הערך נוסף ב-29 באוקטובר 2019
mDNSResponder
אנחנו מבקשים להודות לגרגור לאנג מ-e.solutions GmbH על הסיוע.
הערך נוסף ב-29 באוקטובר 2019
פרופילים
אנחנו מבקשים להודות לאריק ג'ונסון מביה"ס התיכון ורנון הילס ולג'יימס סילי (@Code4iOS) מ-Shriver Job Corps על הסיוע.
הערך נוסף ב-29 באוקטובר 2019
Safari
ברצוננו להודות לייגיט קאן יילמז (@yilmazcanyigit) על העזרה.
הערך נוסף ב-29 באוקטובר 2019, עודכן ב-4 באפריל 2020
WebKit
אנחנו מבקשים להודות למין-ג'אונג קים מ-Information Security Lab, האוניברסיטה הלאומית של צ'ונגנאם, לג'י-צ'אול ריו מ-Information Security Lab, האוניברסיטה הלאומית של צ'ונגנאם בדרום קוריאה ול-cc שעובד עם Zero Day Initiative של Trend Micro על הסיוע.
הערך נוסף ב-29 באוקטובר 2019