Informacije o sigurnosnom sadržaju sustava watchOS 5.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 5.3

Objavljeno 22. srpnja 2019.

Bluetooth

Dostupno za: Apple Watch Series 1 i novije

Utjecaj: napadač s položaja privilegirane mreže može presresti Bluetooth promet (Key Negotiation of Bluetooth - KNOB)

Opis: na Bluetooth mreži otkriven je problem s provjerom valjanosti unosa. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-9506: Daniele Antonioli s SUTD-a, Singapur, dr. Nils Ole Tippenhauer iz CISPA-e, Njemačka i prof. Kasper Rasmussen sa Sveučilišta u Oxfordu, Engleska

Unos je dodan 13. kolovoza 2019.

Temeljni podaci

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

Temeljni podaci

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8647: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Temeljni podaci

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8660: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Digital Touch

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može probiti memoriju

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8624: Natalie Silvanovich (Google Project Zero)

FaceTime

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može uzrokovati arbitrarno izvršavanje koda

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8648: Tao Huang i Tielei Wang (tim Pangu)

Osnove

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8641: Samuel Groß i Natalie Silvanovich (Google Project Zero)

Heimdal

Dostupno za: Apple Watch Series 1 i novije

Učinak: u sustavu Samba postojao je problem koji je omogućivao napadačima izvršavanje neovlaštenih postupaka presretanjem komunikacija između usluga

Opis: taj je problem riješen poboljšanim provjerama za sprječavanje neovlaštenih postupaka.

CVE-2018-16860: Isaac Boukris i Andrew Bartlett (Samba Team i Catalyst)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2019-8633: Zhuo Liang, Qihoo 360 Vulcan Team

Unos dodan 17. rujna 2019.

libxslt

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može vidjeti povjerljive podatke

Opis: problem s prekoračenjem stoga riješen je poboljšanom provjerom valjanosti ulaznih vrijednosti.

CVE-2019-13118: otkrio OSS-Fuzz

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: korisnici uklonjeni iz iMessage razgovora i dalje mogu mijenjati stanje

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen sa Sveučilišta u Oregonu

Poruke

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može uzrokovati neočekivano zatvaranje aplikacije

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2019-8665: Michael Hernandez (XYZ Marketing)

Brzi pregled

Dostupno za: Apple Watch Series 1 i novije

Učinak: napadač može pokrenuti upotrebu nakon besplatne probe u aplikaciji deserijalizirajući nepouzdani NSDictionary

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8662: Natalie Silvanovich i Samuel Groß (Google Project Zero)

Siri

Dostupno za: Apple Watch Series 1 i novije

Učinak: udaljeni napadač može probiti memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8646: Natalie Silvanovich (Google Project Zero)

UIFoundation

Dostupno za: Apple Watch Series 1 i novije

Učinak: raščlanjivanjem zlonamjernih dokumenata sustava Office može doći do neočekivanog zatvaranja aplikacije ili izvršavanja proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8657: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Wallet

Dostupno za: Apple Watch Series 1 i novije

Učinak: korisnik može nehotice izvršiti kupnju unutar aplikacije na zaključanom zaslonu

Opis: problem je riješen poboljšanim rukovanjem korisničkim sučeljem.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do univerzalnog unakrsnog skriptiranja na više web-mjesta

Opis: logički problem riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8658: akayn u suradnji s inicijativom Zero Day (Trend Micro)

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8669: akayn u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8676: Soyeon Park i Wen Xu (SSLab, Georgia Tech)

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech), Ken Wong ((@wwkenwong), VXRL), Anthony Lai ((@darkfloyd1014), VXRL) i Eric Lung ((@Khlung1), VXRL)

CVE-2019-8688: Insu Yun (SSLab, Georgia Tech)

CVE-2019-8689: lokihardt (Google Project Zero)

Dodatna zahvala

Mobilna instalacija

Željeli bismo zahvaliti Danyju Lisianskyju (@DanyL931) na pomoći.

 

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: