אודות תוכן האבטחה של watchOS 7.2
מסמך זה מתאר את תוכן האבטחה של watchOS 7.2.
מידע על עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.
watchOS 7.2
Audio
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול לחשוף זיכרון מוגבל
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29610: אנונימי בעבודה עם Zero Day Initiative של Trend Micro
CoreAudio
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ שמע בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-27948: ג'ון-דונג שייה ושינגווי לין מ-Ant Security Light-Year Lab
FontParser
זמין עבור: Apple Watch Series 3 ואילך
השפעה: תוקף מרוחק עלול להצליח להדליף זיכרון
תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-29608: שינגווי לין מ-Ant Security Light-Year Lab
FontParser
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיית חשיפת מידע טופלה באמצעות ניהול מצבים משופר.
CVE-2020-27946: מתיאוש יורצ'יק מ-Google Project Zero
FontParser
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: הייתה בעיה של השחתת זיכרון בעיבוד של קובצי גופנים. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2020-27943: מתיאוש יורצ'יק מ-Google Project Zero
CVE-2020-27944: מתיאוש יורצ'יק מ-Google Project Zero
CVE-2020-29624: מתיאוש יורצ'יק מ-Google Project Zero
ImageIO
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד של תמונה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29615: שינגווי לין מ-Ant Security Light-Year Lab
ImageIO
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לפגם בזיכרון
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29617: שינגווי לין מ-Ant Security Light-Year Lab
CVE-2020-29619: שינגווי לין מ-Ant Security Light-Year Lab
ImageIO
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2020-29618: שינגווי לין מ-Ant Security Light-Year Lab
ImageIO
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי
תיאור: בעיית כתיבה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.
CVE-2020-29611: אלכסנדרו-ולאד ניקולאה בעבודה עם Google Project Zero
Security
זמין עבור: Apple Watch Series 3 ואילך
השפעה: ביצוע קוד ללא הרשאה עלול לגרום להפרה של מדיניות אימות
תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.
CVE-2020-27951: Apple
WebRTC
זמין עבור: Apple Watch Series 3 ואילך
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.
CVE-2020-15969: חוקר אנונימי
Wi-Fi
זמין עבור: Apple Watch Series 3 ואילך
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.
CVE-2021-31077: לי מ-CompSec@SNU
תודות נוספות
CoreAudio
אנחנו מבקשים להודות לג'ון-דונג שייה ולשינג-וויי לין מ-Ant Security Light-Year Lab על הסיוע.
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.