Informacije o sigurnosnom sadržaju sustava watchOS 5.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 5.3
Bluetooth
Dostupno za: Apple Watch Series 1 i novije
Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)
Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska
Izmjene za ovo izdanje rješavaju probleme za CVE-2020-10135.
Temeljni podaci
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8646: natashenka (Google Project Zero)
Temeljni podaci
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8647: Samuel Groß i natashenka (Google Project Zero)
Temeljni podaci
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8660: Samuel Groß i natashenka (Google Project Zero)
Digital Touch
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8624: natashenka (Google Project Zero)
FaceTime
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)
Heimdal
Dostupno za: Apple Watch Series 1 i novije
Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga
Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.
CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)
Obrada slika
Dostupno za: Apple Watch Series 1 i novije
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8668: anonimni istraživač
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2019-8633: Zhuo Liang, Qihoo 360 Vulcan Team
libxslt
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može vidjeti povjerljive podatke
Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.
CVE-2019-13118: otkrio OSS-Fuzz
Poruke
Dostupno za: Apple Watch Series 1 i novije
Učinak: korisnici uklonjeni iz iMessage razgovora i dalje mogu mijenjati stanje
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen sa Sveučilišta u Oregonu
Poruke
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2019-8665: Michael Hernandez (XYZ Marketing)
Brzi pregled
Dostupno za: Apple Watch Series 1 i novije
Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2019-8662: natashenka i Samuel Groß (Google Project Zero)
Siri
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može probiti memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8646: natashenka (Google Project Zero)
UIFoundation
Dostupno za: Apple Watch Series 1 i novije
Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)
Wallet
Dostupno za: Apple Watch Series 1 i novije
Učinak: korisnik može nehotice izvršiti kupnju unutar aplikacije na zaključanom zaslonu
Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.
CVE-2019-8682: Jeff Braswell (JeffBraswell.com)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta
Opis: logički problem riješen je poboljšanim upravljanjem stanjem.
CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2019-8672: Samuel Groß (Google Project Zero)
CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)
CVE-2019-8683: lokihardt (Google Project Zero)
CVE-2019-8684: lokihardt (Google Project Zero)
CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)
CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)
CVE-2019-8689: lokihardt (Google Project Zero)
Dodatna zahvala
Mobilna instalacija
Željeli bismo zahvaliti Danyju Lisianskyju (@DanyL931) na pomoći.
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.