אודות תוכני האבטחה של watchOS 6.1.1
מסמך זה מתאר את תוכני האבטחה של watchOS 6.1.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 6.1.1
CallKit
זמין עבור: Apple Watch Series 1 ואילך
השפעה: ייתכן ששיחות שבוצעו באמצעות Siri הופעלו על ידי תוכנית סלולרית לא נכונה במכשירים שבהם קיימות שתי תוכניות פעילות
תיאור: בעיית API שהייתה קיימת בטיפול בשיחות טלפון יוצאות שבוצעו באמצעות Siri. בעיה זו טופלה באמצעות ניהול מצבים משופר.
CVE-2019-8856: פבריס טראנקל מ-TERRANCLE SARL
CFNetwork
זמין עבור: Apple Watch Series 1 ואילך
השפעה: תוקף במיקום מורשה ברשת עלול להצליח לעקוף את HSTS למספר מוגבל של דומיינים מסוימים ברמה עליונה שקודם לכן לא הופיעו ברשימת הטעינה מראש של HSTS
תיאור: בעיית תצורה טופלה באמצעות הגבלות נוספות.
CVE-2019-8834: רוב סאייר (@sayrer)
CFNetwork Proxies
זמין עבור: Apple Watch Series 1 ואילך
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2019-8848: ז'ואו ליאנג מצוות Vulcan ב-Qihoo 360
FaceTime
זמין עבור: Apple Watch Series 1 ואילך
השפעה: עיבוד סרטונים בעלי תוכן זדוני דרך FaceTime עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2019-8830: נטאשנקה מ-Google Project Zero
ליבה
זמין עבור: Apple Watch Series 1 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה על-ידי הסרת הקוד הפגיע.
CVE-2019-8833: איאן ביר מ-Google Project Zero
ליבה
זמין עבור: Apple Watch Series 1 ואילך
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8828: קים סטורדל מ-Cognite
CVE-2019-8838: ד"ר סילביו צ'זרה מ-InfoSect
libexpat
זמין עבור: Apple Watch Series 1 ואילך
השפעה: ניתוח קובץ XML בעל מבנה זדוני עלול להוביל לחשיפת מידע משתמש
תיאור: בעיה זו טופלה באמצעות עדכון ל-expat בגרסה 2.2.8.
CVE-2019-15903: ג'ונאן ג'אנג
libpcap
זמין עבור: Apple Watch Series 1 ואילך
השפעה: מספר בעיות ב-libpcap
תיאור: מספר בעיות טופלו באמצעות עדכון לגרסה 1.9.1 של libpcap
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
אבטחה
זמין עבור: Apple Watch Series 1 ואילך
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2019-8832: אינסו יון מ-SSLab במכון הטכנולוגי של ג'ורג'יה
WebKit
זמין עבור: Apple Watch Series 1 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2019-8844: וויליאם באולינג (@wcbowling)
תודות נוספות
חשבונות
ברצוננו להודות לאליסון חוסיין מאוניברסיטת קליפורניה בברקלי, לקישאן בגאריה (KishanBagaria.com) ולטום סנלינג מאוניברסיטת לאפבורו על הסיוע.
נתוני ליבה
ברצוננו להודות לנטאשנקה מ-Google Project Zero על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.