Informacije o sigurnosnom sadržaju sustava watchOS 5.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 5.3

Objavljeno 22. srpnja 2019.

Temeljni podaci

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je probiti memoriju

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Temeljni podaci

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadači mogli bi uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8647: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Temeljni podaci

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8660: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Digital Touch

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je probiti memoriju

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8624: Natalie Silvanovich (Google Project Zero)

FaceTime

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadači mogli bi uzrokovati arbitrarno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)

Osnove

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8641: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Heimdal

Dostupno za: Apple Watch Series 1 i novije

Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga

Opis: problem je riješen poboljšanim provjerama radi sprječavanje neovlaštenih postupaka.

CVE-2018-16860: Isaac Boukris i Andrew Bartlett (tim Samba i Catalyst)

libxslt

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je vidjeti povjerljive podatke

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2019-13118: otkrio OSS-Fuzz

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: korisnici uklonjeni iz iMessage razgovora i dalje su mogli mijenjati stanje

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen sa Sveučilišta u Oregonu

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8665: Michael Hernandez (XYZ Marketing)

Brzi pregled

Dostupno za: Apple Watch Series 1 i novije

Učinak: napadač je mogao pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8662: Natalie Silvanovich i Samuel Groß (Google Project Zero)

Siri

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač mogao je probiti memoriju

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

UIFoundation

Dostupno za: Apple Watch Series 1 i novije

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office moglo je doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day tvrtke Trend Micro

Wallet

Dostupno za: Apple Watch Series 1 i novije

Učinak: korisnik je mogao nehotice izvršiti kupnju unutar aplikacije na zaključanom zaslonu

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8658: akayn u suradnji s inicijativom Zero Day tvrtke Trend Micro

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8669: akayn u suradnji s inicijativom Zero Day tvrtke Trend Micro

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong (@wwkenwong) (VXRL), Anthony Lai (@darkfloyd1014) (VXRL) i Eric Lung (@Khlung1) (VXRL)

CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Dodatna zahvala

Mobilna instalacija

Željeli bismo zahvaliti Danyju Lisianskyju (@DanyL931) na pomoći.

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: