Informacije o sigurnosnom sadržaju sustava watchOS 5.2

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.2.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 5.2

Izdano 27. ožujka 2019.

Računi

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjerne vcf datoteke moglo se izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Unos dodan 3. travnja 2019.

CFString

Dostupno za: Apple Watch Series 1 i novije

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8516: tim SWIPS (Frifee Inc.)

configd

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakti

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8511: anonimni istraživač

CoreCrypto

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8542: anonimni istraživač

datoteka

Dostupno za: Apple Watch Series 1 i novije

Učinak: obrada zlonamjerno izrađene datoteke može otkriti korisničke informacije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8906: Francisco Alonso

Unos ažuriran 15. travnja 2019.

Osnove

Dostupno za: Apple Watch Series 1 i novije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-7286: anonimni istraživač, Clement Lecigne (Google Threat Analysis Group), Ian Beer (Google Project Zero) i Samuel Groß (Google Project Zero)

GeoServices

Dostupno za: Apple Watch Series 1 i novije

Učinak: klikanje zlonamjernog linka u SMS-u može dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8553: anonimni istraživač

iAP

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8542: anonimni istraživač

IOHIDFamily

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8545: Adam Donenfeld ((@doadam), tim zLabs, Zimperium)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može uzrokovati neočekivani pad sustava ili oštetiti kernelsku memoriju

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2019-8527: Ned Williamson (Google) i derrek (@derrekr6)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun ((@S0rryMybad), tim Vulcan tvrtke Qihoo 360)

Unos dodan 3. travnja 2019.

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8540: Weibo Wang ((@ma1fan), tim Nirvan tvrtke Qihoo 360)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8514: Samuel Groß (Google Project Zero)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-6207: Weibo Wang (@ma1fan) (tim Nirvan tvrtke Qihoo 360)

CVE-2019-8510: Stefan Esser (Antid0te UG)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnici mogli su čitati kernelsku memoriju

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-7293: Ned Williamson (Google)

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnik mogao je pregledavati povjerljive korisničke informacije

Opis: problem s pristupom riješen je dodatnim ograničenjima za memoriju za testiranje.

CVE-2019-8546: ChiYuan Chang

Lozinka

Dostupno za: Apple Watch Series 1 i novije

Učinak: djelomično uneseni pristupni kodovi mogu se ne izbrisati kad uređaj prijeđe u stanje mirovanja

Opis: postojao je problem kada se djelomično uneseni pristupni kodovi možda ne izbrišu kad uređaj prijeđe u stanje mirovanja. Problem je riješen brisanjem pristupnog koda kad je zaključani uređaj u stanju mirovanja.

CVE-2019-8548: Tobias Sachs

Upravljanje napajanjem

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: u MIG generiranom kodu otkriven je veći broj problema s provjerom valjanosti ulaznih podataka. Ti su problemi riješeni poboljšanom provjerom valjanosti.

CVE-2019-8549: Mohamed Ghannam ((@_simo36), SSD Secure Disclosure (ssd-disclosure.com))

Zaštita privatnosti

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogle su pratiti korisnike između dviju instalacija

Opis: problem s privatnošću postojao je u kalibraciji senzora pokreta. Problem je riješen poboljšanom obradom senzora pokreta.

CVE-2019-8541: Stan (Jiexin) Zhang i Alastair R. Beresford (Sveučilište Cambridge), Ian Sheret (Polymath Insight Limited)

Siri

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerna aplikacija mogla je pokrenuti zahtjev za diktat bez odobrenja korisnika

Opis: postojao je problem s API-jem u rukovanju zahtjeva za diktat. Problem je riješen poboljšanom provjerom valjanosti.

CVE-2019-8502: Luke Deshotels (Državno sveučilište Sjeverna Karolina), Jordan Beichler (Državno sveučilište Sjeverna Karolina), William Enck (Državno sveučilište Sjeverna Karolina), Costin Carabaș (Politehničko sveučilište u Bukureštu) i Răzvan Deaconescu (Politehničko sveučilište u Bukureštu)

TrueTypeScaler

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8517: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8536: Apple

CVE-2019-8544: anonimni istraživač

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8506: Samuel Groß (Google Project Zero)

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8518: Samuel Groß (Google Project Zero)

CVE-2019-8558: Samuel Groß (Google Project Zero)

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-7292: Zhunki i Zhiyi Zhang (tim Codesafe tvrtke 360 ESG)

Dodatna zahvala

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: