Informacije o sigurnosnom sadržaju sustava watchOS 7.0
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 7.0.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 7.0
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9943: JunDong Xie (Ant Group Light-Year Security Lab)
Audio
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi aplikacija mogla čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9944: JunDong Xie (Ant Group Light-Year Security Lab)
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9960: JunDong Xie i Xingwei Lin (Ant Security Light-Year Lab)
CoreAudio
Dostupno za: Apple Watch Series 3 i novije
Učinak: reprodukcija zlonamjerne audiodatoteke može uzrokovati izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9954: Francis u suradnji s inicijativom Zero Day (Trend Micro), JunDong Xie (Ant Group Light-Year Security Lab)
CoreCapture
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9949: Proteas
CoreText
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne tekstne datoteke moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9999: Apple
Disk Images
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9965: Proteas
CVE-2020-9966: Proteas
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: neka bi zlonamjerna aplikacija mogla čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-29629: anonimni istraživač
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9956: Mickey Jin i Junzhi Lu (Istraživački tim za mobilnu sigurnost, Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2020-9962: Yiğit Can YILMAZ (@yilmazcanyigit)
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke fonta moglo bi doći do izvršavanja proizvoljnog koda
Opis: u obradi datoteka s fontovima postojao je problem s oštećenjem memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-27931: Apple
FontParser
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-29639: Mickey Jin i Qi Sun (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
HomeKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: napadač s povlaštenim mrežnim ovlastima mogao bi neočekivano promijeniti stanje aplikacije
Opis: problem je riješen poboljšanom propagacijom postavki.
CVE-2020-9978: Luyi Xing, Dongfang Zhao i Xiaofeng Wang (Sveučilište Bloomington, Indiana), Yan Jia (Sveučilište Xidian i Sveučilište kineske akademije znanosti) te Bin Yuan (Sveučilište znanosti i tehnologije HuaZhong)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne tiff datoteke moglo bi doći do odbijanja usluge ili potencijalnog otkrivanja sadržaja memorije
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-36521: Xingwei Lin (Ant-Financial Light-Year Security Lab)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9961: Xingwei Lin (Ant Security Light-Year Lab)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: otvaranje zlonamjerno stvorene PDF datoteke može uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9876: Mickey Jin (Trend Micro)
ImageIO
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9955: Mickey Jin (Trend Micro), Xingwei Lin (Ant Security Light-Year Lab)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9967: Alex Plaskett (@alexjplaskett)
Kernel
Dostupno za: Apple Watch Series 3 i novije
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9975: Tielei Wang (Pangu Lab)
Keyboard
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi otkriti osjetljive korisničke podatke
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9976: Rias A. Sherzad (JAIDE GmbH, Hamburg, Njemačka)
libxml2
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjerne datoteke moglo bi doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9981: otkrio OSS-Fuzz
libxpc
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerne aplikacije mogle su si povećati ovlasti
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2020-9971: Zhipeng Huo (@R3dF09) (Tencentov sigurnosni odjel Xuanwu Lab)
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi neočekivano promijeniti stanje aplikacije
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-9941: Fabian Ising (Sveučilište primijenjenih znanosti, FH Münster) i Damian Poddebniak (Sveučilište primijenjenih znanosti, FH Münster)
Messages
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi otkriti korisnikove izbrisane poruke
Opis: taj je problem riješen poboljšanim brisanjem.
CVE-2020-9989: von Brunn Media
Phone
Dostupno za: Apple Watch Series 3 i novije
Učinak: zaključavanje zaslona možda neće djelovati nakon određenog vremenskog razdoblja
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-9946: Daniel Larsson (iolight AB)
Safari
Dostupno za: Apple Watch Series 3 i novije
Učinak: posjet zlonamjernom web-mjestu mogao bi izazvati krivotvorenje adresne trake
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2020-9993: Masato Sugiyama (@smasato) (Sveučilište u Tsukubi), Piotr Duszynski
Sandbox
Dostupno za: Apple Watch Series 3 i novije
Učinak: lokalni korisnik mogao bi pregledavati osjetljive korisničke informacije
Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.
CVE-2020-9969: Wojciech Reguła (SecuRing) (wojciechregula.blog)
Sandbox
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjerna aplikacija mogla bi pristupiti ograničenim datotekama
Opis: logički problem riješen je poboljšanim ograničenjima.
CVE-2020-9968: Adam Chester (@_xpn_) (TrustedSec)
SQLite
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-13434
CVE-2020-13435
CVE-2020-9991
SQLite
Dostupno za: Apple Watch Series 3 i novije
Učinak: veći broj problema u bazi podataka SQLite
Opis: veći broj problema riješen je ažuriranjem baze podataka SQLite na verziju 3.32.3.
CVE-2020-15358
SQLite
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi otkriti memoriju
Opis: problem s otkrivanjem podataka riješen je poboljšanim upravljanjem stanjem.
CVE-2020-9849
SQLite
Dostupno za: Apple Watch Series 3 i novije
Učinak: zlonamjeran SQL upit može dovesti do oštećenja podataka
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2020-13631
SQLite
Dostupno za: Apple Watch Series 3 i novije
Učinak: udaljeni napadač mogao bi uzrokovati izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2020-13630
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2020-9947: cc u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2020-9950: cc u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2020-9951: Marcin 'Icewall' Noga (Cisco Talos)
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja koda
Opis: problem s pisanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-9983: zhunki
WebKit
Dostupno za: Apple Watch Series 3 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do napada unakrsnim skriptiranjem na više web-mjesta
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-9952: Ryan Pickren (ryanpickren.com)
Dodatna zahvala
Audio
Željeli bismo zahvaliti JunDongu Xieju i Xingweiju Linu (Ant-Financial Light-Year Security Lab) na pomoći.
Audio
Željeli bismo zahvaliti JunDongu Xieju i XingWeiju Linu (Ant-Financial Light-Year Security Lab) na pomoći.
Bluetooth
Željeli bismo zahvaliti Andyju Davisu (NCC Group) na pomoći.
Clang
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.
Core Location
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) na pomoći.
Crash Reporter
Željeli bismo zahvaliti Arturu Byszkou (AFINE) na pomoći.
iAP
Željeli bismo zahvaliti Andyju Davisu (NCC Group) na pomoći.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i Stephenu Röttgeru (Google) na pomoći.
libxml2
Željeli bismo zahvaliti anonimnom istraživaču na pomoći.
Location Framework
Željeli bismo zahvaliti Nicolasu Brunneru (linkedin.com/in/nicolas-brunner-651bb4128) na pomoći.
Mail Drafts
Željeli bismo zahvaliti Jonu Bottariniju (HackerOne) na pomoći.
Safari
Željeli bismo zahvaliti Andreasu Gutmannu (@KryptoAndI) (OneSpan's Innovation Centre (onespan.com) i University College London), Stevenu J. Murdochu (@SJMurdoch) (OneSpan's Innovation Centre (onespan.com) i University College London), Jacku Cableu (Lightning Security), Ryanu Pickrenu (ryanpickren.com) i Yairu Amitu na pomoći.
WebKit
Željeli bismo zahvaliti Pawelu Wylecialu (REDTEAM.PL) i Ryanu Pickrenu (ryanpickren.com) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.