Informacije o sigurnosnom sadržaju sustava watchOS 6.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 6.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 6.1
Računi
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8787: Steffen Klee (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
AirDrop
Dostupno za: Apple Watch Series 1 i novije
Učinak: AirDrop prijenosi mogu se neočekivano prihvatiti dok ste u modu Svi
Opis: problem s logikom riješen je poboljšanom provjerom valjanosti.
CVE-2019-8796: Allison Husain (UC Berkeley)
App Store
Dostupno za: Apple Watch Series 1 i novije
Učinak: lokalni napadač može se bez valjanih vjerodajnica prijaviti na račun korisnika koji je već bio prijavljen.
Opis: problem s autorizacijom riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Zvuk
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB i SSD Secure Disclosure
Kontakti
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog kontakta može se krivotvoriti korisničko sučelje
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH (to.com))
Događaji datotečnog sustava
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8798: ABC Research s.r.o. i inicijativa Zero Day (Trend Micro)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8794: 08Tc3wBB i SSD Secure Disclosure
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8786: Wen Xu (Georgia Tech, stažist istraživačkog tima Microsoft Offensive Security)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.
CVE-2019-8829: Jann Horn (Google Project Zero)
libxslt
Dostupno za: Apple Watch Series 1 i novije
Učinak: veći broj problema u biblioteci libxslt
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8750: otkrio OSS-Fuzz
VoiceOver
Dostupno za: Apple Watch Series 1 i novije
Učinak: osoba s fizičkim pristupom iOS uređaju mogla je sa zaključanog zaslona pristupiti kontaktima
Opis: problem je riješen ograničenjem opcija na zaključanom zaslonu.
CVE-2019-8775: videosdebarraquito
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8764: Sergei Glazunov (Google Project Zero)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8743: zhunki (tim Codesafe, Legendsec grupacije Qi'anxin)
CVE-2019-8765: Samuel Groß (Google Project Zero)
CVE-2019-8766: otkrio OSS-Fuzz
CVE-2019-8808: otkrio OSS-Fuzz
CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)
CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8820: Samuel Groß (Google Project Zero)
Dodatna zahvala
boringssl
Željeli bismo zahvaliti Nimrodu Aviramu (Sveučilište u Tel Avivu), Robertu Mergetu (Sveučilište Ruhr, Bochum) i Jurju Somorovskom (Sveučilište Ruhr, Bochum) na pomoći.
CFNetwork
Željeli bismo zahvaliti Lily Chen (Google) na pomoći.
Kernel
Željeli bismo zahvaliti Danielu Roethlisbergeru (Swisscom CSIRT) i Jannu Hornu (Google Project Zero) na pomoći.
Safari
Željeli bismo zahvaliti Ronu Summersu i Ronaldu van der Meeru na pomoći.
WebKit
Željeli bismo zahvaliti Zhiyi Zhang (tim Codesafe, Legendsec grupacije Qi'anxin) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.