Informacije o sigurnosnom sadržaju sustava watchOS 5.2.1

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.2.1.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 5.2.1

Objavljeno 13. svibnja 2019.

AppleFileConduit

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8593: Dany Lisiansky (@DanyL931)

CoreAudio

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjerne filmske datoteke moglo je doći do izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8585: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Slike diska

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8560: Nikita Pupyshev (Državno tehničko sveučilište Bauman Moskva)

Unos ažuriran 30. svibnja 2019.

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke su zlonamjerne aplikacije mogle uz sistemske ovlasti izvršiti proizvoljni kod

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8605: Ned Williamson u suradnji s Google Project Zero

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnici mogli su izazvati neočekivani pad sustava odnosno čitati kernelsku memoriju.

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2019-8576: Brandon Azad (Google Project Zero), Junho Jang i Hanul Choi (tim za sigurnost, LINE)

Unos ažuriran 30. svibnja 2019.

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke su aplikacije mogle uzrokovati neočekivani pad sustava odnosno pisati kernelsku memoriju

Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8591: Ned Williamson u suradnji s Google Project Zero

Mail

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8626: Natalie Silvanovich (Google Project Zero)

Okruženje za e-mail poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8613: Natalie Silvanovich (Google Project Zero)

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je uzrokovati sistemsko odbijanje usluge

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8573: Natalie Silvanovich (Google Project Zero)

Unos dodan 3. srpnja 2019.

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjerne poruke moglo se uzrokovati odbijanje usluge

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8664: Natalie Silvanovich (Google Project Zero)

Unos dodan 3. srpnja 2019.

Mobilna instalacija

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnik mogao je izmijeniti zaštićene dijelove datotečnog sustava

Opis: postojao je problem s provjerom valjanosti prilikom rukovanja simboličkim vezama. Taj je problem riješen poboljšanom provjerom simboličkih veza.

CVE-2019-8568: Dany Lisiansky (@DanyL931)

MobileLockdown

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerna aplikacija mogla je steći korijenske ovlasti

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8637: Dany Lisiansky (@DanyL931)

SQLite

Dostupno za: Apple Watch Series 1 i novije

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8577: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerni SQL upit mogao je dovesti do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8600: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne su aplikacije mogle čitati ograničenu memoriju

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8598: Omer Gull (Checkpoint Research)

SQLite

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogle su dodijeliti ovlasti visokog stupnja

Opis: problem s oštećenjem memorije riješen je uklanjanjem koda sa slabim točkama.

CVE-2019-8602: Omer Gull (Checkpoint Research)

sysdiagnose

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8574: Dayton Pidhirney ((@_watbulb), Seekintoo, (@seekintoo))

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja mogla se otkriti procesna memorija

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8607: Junho Jang i Hanul Choi (tim za sigurnost, LINE)

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8583: sakura (Tencent Xuanwu Lab), jessica ((@babyjess1ca_), Tencent Keen Lab) i dwfault (ADLab, Venustech)

CVE-2019-8601: Fluoroacetate u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8622: Samuel Groß (Google Project Zero)

CVE-2019-8623: Samuel Groß (Google Project Zero)

Wi-Fi

Dostupno za: Apple Watch Series 1 i novije

Učinak: napadač na privilegiranoj poziciji na mreži mogao je mijenjati stanje upravljačkog programa

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8612: Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)

Unos dodan 30. svibnja 2019.

Wi-Fi

Dostupno za: Apple Watch Series 1 i novije

Učinak: uređaj se mogao pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.

CVE-2019-8620: David Kreitschmann i Milan Stute (laboratorij za sigurno mobilno umrežavanje, Tehničko sveučilište Darmstadt)

Dodatna zahvala

Clang

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

CoreAudio

Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.

Unos dodan 25. srpnja 2019.

CoreFoundation

Željeli bismo zahvaliti Vozzieju, Ramiju i m4blnu, Xiangqianu Zhangu, Huiming Liuju (laboratorij Xuanwu, Tencent) na pomoći.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) i anonimnom istraživaču na pomoći.

MediaLibrary

Željeli bismo zahvaliti Angelu Ramirezu i Min (Spark) Zhengu, Xiaolong Baiju (Alibaba Inc.) na pomoći.

Mobilna instalacija

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) za njegovu pomoć.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: