אודות תוכני האבטחה של watchOS 6.1.1

מסמך זה מתאר את תוכני האבטחה של watchOS 6.1.1.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 6.1.1

פורסם ב-10 בדצמבר 2019

CallKit

זמין עבור: Apple Watch Series 1 ואילך

השפעה: ייתכן ששיחות שבוצעו באמצעות Siri הופעלו על ידי תוכנית סלולרית לא נכונה במכשירים שבהם קיימות שתי תוכניות פעילות

תיאור: בעיית API קיימת בטיפול בשיחות יוצאות שבוצעו באמצעות Siri. בעיה זו טופלה באמצעות ניהול מצב משופר.

CVE-2019-8856: פבריס טראנקל מ-TERRANCLE SARL

CFNetwork Proxies

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2019-8848: ‏ז'ואו ליאנג מ-Qihoo 360 Vulcan Team

FaceTime

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד סרטונים בעלי תוכן זדוני דרך FaceTime עלול להוביל להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2019-8830: נטלי סילבנוביץ' מ-Google Project Zero

IOUSBDeviceFamily

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8836: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc.‎ ולו-יי שינג מ-Indiana University Bloomington

ליבה

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.

CVE-2019-8833:‏ איאן ביר מ-Google Project Zero

ליבה

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8828: קים סטורדל מ-Cognite

CVE-2019-8838: ‏ד"ר סילביו צ'זרה מ-InfoSect

libexpat

זמין עבור: Apple Watch Series 1 ואילך

השפעה: ניתוח קובץ XML בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש

תיאור: בעיה זו טופלה באמצעות עדכון ל-expat בגרסה 2.2.8.

CVE-2019-15903: ג'ונאן ג'אנג

אבטחה

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8832: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה

WebKit

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2019-8844: וויליאם באולינג (@wcbowling)

תודות נוספות

חשבונות

ברצוננו להודות לקישאן בגאריה (KishanBagaria.com) ולטום סנלינג מאוניברסיטת לאפבורו על הסיוע.

נתוני ליבה

ברצוננו להודות לנטלי סילבנוביץ' מ-Google Project Zero על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: