Informacije o sigurnosnom sadržaju sustava watchOS 5.2.1
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.2.1.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 5.2.1
AppleFileConduit
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne filmske datoteke može doći do izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
CoreAudio
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem pogreškama.
CVE-2019-8592: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro
Slike diska
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8560: Nikita Pupyshev (Državno tehničko sveučilište Bauman Moskva)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8605: Ned Williamson u suradnji s Google Project Zero
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang i Hanul Choi (tim za sigurnost, LINE)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu uzrokovati neočekivani pad sustava, odnosno pisati kernelsku memoriju
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8591: Ned Williamson u suradnji s Google Project Zero
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8626: natashenka (Google Project Zero)
Okruženje za e-mail poruke
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8613: natashenka (Google Project Zero)
Poruke
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8664: natashenka (Google Project Zero)
Poruke
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može uzrokovati sistemsko odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8573: natashenka (Google Project Zero)
Poruke
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8664: natashenka (Google Project Zero)
Mobilna instalacija
Dostupno za: Apple Watch Series 1 i novije
Učinak: lokalni korisnik može izmijeniti zaštićene dijelove datotečnog sustava
Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerna aplikacija može steći korijenske ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Dostupno za: Apple Watch Series 1 i novije
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8577: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8600: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8598: Omer Gull (Checkpoint Research)
SQLite
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja
Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.
CVE-2019-8602: Omer Gull (Checkpoint Research)
sysdiagnose
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2019-8574: Dayton Pidhirney ((@_watbulb), Seekintoo, (@seekintoo))
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8607: Junho Jang i Hanul Choi (tim za sigurnost, LINE)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica ((@babyjess1ca_), Tencent Keen Lab) i dwfault (ADLab, Venustech)
CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8622: Samuel Groß (Google Project Zero)
CVE-2019-8623: Samuel Groß (Google Project Zero)
Wi-Fi
Dostupno za: Apple Watch Series 1 i novije
Učinak: napadač na privilegiranoj poziciji na mreži može mijenjati stanje upravljačkog programa
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8612: Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Wi-Fi
Dostupno za: Apple Watch Series 1 i novije
Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi
Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.
CVE-2019-8620: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)
Dodatna zahvala
Clang
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.
CoreAudio
Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.
CoreFoundation
Željeli bismo zahvaliti Vozzieju, Ramiju i tvrtki m4bln, Xiangqianu Zhangu, Huiming Liuju (odjel Xuanw Lab tvrtke Tencent) na pomoći.
Kernel
Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i anonimnom istraživaču na pomoći.
MediaLibrary
Željeli bismo zahvaliti Angelu Ramirezu i Min (Spark) Zhengu, Xiaolong Baiju (Alibaba Inc.) na pomoći.
Mobilna instalacija
Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.