Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 5.1.3
Objavljen 22. siječnja 2019.
AppleKeyStore
Dostupno za: Apple Watch Series 1 i noviji
Učinak: proces u memoriji za testiranje mogao je zaobići ograničenja memorije za testiranje
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2019-6235: Brandon Azad
Osnovni mediji
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-6202: Fluoroacetate i inicijativa Zero Day (Trend Micro)
CoreAnimation
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-6231: Zhuo Liang (Qihoo 360 Nirvan Team)
CoreAnimation
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6230: Proteas, Shrek_wzw i Zhuo Liang (Qihoo 360 Nirvan Team)
FaceTime
Dostupno za: Apple Watch Series 1 i noviji
Učinak: udaljeni napadač može pokrenuti poziv putem značajke FaceTime te uzrokovati proizvoljno pokretanje koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6224: Natalie Silvanovich (Google Project Zero)
IOKit
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerne su aplikacije mogle izaći izvan ograničene memorije
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6214: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti zlonamjerna aplikacija mogla je izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6210: Ned Williamson (Google)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.
CVE-2019-6213: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-6209: Brandon Azad (Google Project Zero)
Obrada prirodnog jezika
Dostupno za: Apple Watch Series 1 i noviji
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-6219: Authier Thomas
SQLite
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-20346: Tencent Blade Team
CVE-2018-20505: Tencent Blade Team
CVE-2018-20506: Tencent Blade Team
WebKit
Dostupno za: Apple Watch Series 1 i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-6227: Qixun Zhao (Qihoo 360 Vulcan Team)
WebKit
Dostupno za: Apple Watch Series 1 i noviji
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-6216: Fluoroacetate i inicijativa Zero Day (Trend Micro)
CVE-2019-6217: Fluoroacetate i inicijativa Zero Day (Trend Micro), Proteas, Shrek_wzw i Zhuo Liang (Qihoo 360 Nirvan Team)
CVE-2019-6226: Apple
Dodatna zahvala
mDNSResponder
Na pomoći zahvaljujemo Fatemah Alharbi s Kalifornijskog sveučilišta u Riversideu (UCR) i Sveučilišta Taibah (TU), Jie Chang iz tvrtke LinkSure Network, Yuchen Zhou sa Sveučilišta Northeastern, Feng Qian sa Sveučilišta Minnesota u Twin Cityju, Zhiyun Qian s Kalifornijskog sveučilišta u Riversideu (UCR) te Naelu Abu-Ghazalehu s Kalifornijskog sveučilišta u Riversideu (UCR).