Informacije o sigurnosnom sadržaju sustava watchOS 6

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 6.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.

watchOS 6

Objavljeno 19. rujna 2019.

Zvuk

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom zlonamjerne audiodatoteke može doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8706: Yu Zhou (Ant-financial Light-Year Security Lab)

Unos je dodan 29. listopada 2019.

Zvuk

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom zlonamjerne audiodatoteke može doći do otkrivanja ograničene memorije

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8850: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 4. prosinca 2019.

CFNetwork

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do napada unakrsnim skriptiranjem na više web-mjesta

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)

Unos je dodan 29. listopada 2019.

CoreAudio

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom zlonamjernog filma može doći do otkrivanja procesne memorije

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2019-8705: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 8. listopada 2019.

CoreCrypto

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom velikog unosa može se izazvati uskraćivanje usluge

Opis: problem uskraćivanja usluge riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8741: Nicky Mouha (NIST)

Unos je dodan 29. listopada 2019.

Osnove

Dostupno za: Apple Watch Series 3 i noviji

Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda

Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8641: Samuel Groß i Natalie Silvanovich (Google Project Zero)

CVE-2019-8746: Natalie Silvanovich i Samuel Groß (Google Project Zero)

Unos ažuriran 29. listopada 2019.

IOUSBDeviceFamily

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8718: Joshua Hill i Sem Voigtländer

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: ranjivost zbog oštećenja memorije riješena je poboljšanim zaključavanjem.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: Apple Watch Series 3 i noviji

Učinak: lokalna aplikacija može čitati trajni identifikator računa

Opis: problem s provjerom valjanosti riješen je poboljšanom logikom.

CVE-2019-8809: Apple

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: Apple Watch Series 3 i noviji

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: prilikom rukovanja IPv6 paketima otkriven je problem s oštećenjem memorije. Problem je riješen poboljšanim upravljanjem memorijom.

CVE-2019-8744: Zhuo Liang (tim Vulcan, Qihoo 360)

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Unos je dodan 29. listopada 2019.

Kernel

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8717: Jann Horn (Google Project Zero)

Unos je dodan 8. listopada 2019.

libxml2

Dostupno za: Apple Watch Series 3 i noviji

Učinak: veći broj problema u biblioteci libxml2

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2019-8749: otkrio OSS-Fuzz

CVE-2019-8756: otkrio OSS-Fuzz

Unos je dodan 8. listopada 2019.

mDNSResponder

Dostupno za: Apple Watch Series 3 i noviji

Učinak: napadač koji se nalazi u blizini može pasivno promatrati nazive uređaja u AWDL komunikacijama

Opis: problem je riješen zamjenom naziva uređaja nasumičnim identifikatorom.

CVE-2019-8799: David Kreitschmann i Milan Stute (laboratorij za sigurne mobilne mreže, Tehničko sveučilište u Darmstadtu)

Unos je dodan 29. listopada 2019.

UIFoundation

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: prekoračenje spremnika riješeno je poboljšanom provjerom ograničenja.

CVE-2019-8745: riusksk (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 8. listopada 2019.

UIFoundation

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2019-8831: riusksk VulWar Corp u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 18. studenog 2019.

WebKit

Dostupno za: Apple Watch Series 3 i noviji

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2019-8710: otkrio OSS-Fuzz

CVE-2019-8728: Junho Jang (tim za sigurnost, LINE) i Hanul Choi (ABLY Corporation)

CVE-2019-8734: otkrio OSS-Fuzz

CVE-2019-8751: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)

CVE-2019-8752: Dongzhuo Zhao u suradnji s laboratorijem ADLab (Venustech)

CVE-2019-8773: otkrio OSS-Fuzz

Unos je dodan 29. listopada 2019.

Wi-Fi

Dostupno za: Apple Watch Series 3 i noviji

Učinak: uređaj se može pasivno pratiti prema njegovoj Wi-Fi MAC adresi

Opis: problem privatnosti korisnika riješen je uklanjanjem MAC adrese za emitiranje.

CVE-2019-8854: Ta-Lun Yen (UCCU Hacker i FuriousMacTeam, Pomorska akademija Sjedinjenih Država i Mitre Cooperation)

Unos je dodan 4. prosinca 2019.

Dodatna zahvala

Zvuk

Željeli bismo zahvaliti riusksku (VulWar Corp) u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.

Unos je dodan 29. listopada 2019.

boringssl

Željeli bismo zahvaliti Thijsu Alkemadeu (@xnyhps) (Computest) na pomoći.

Unos je dodan 8. listopada 2019.

HomeKit

Željeli bismo zahvaliti Tianu Zhangu na pomoći.

Unos je dodan 29. listopada 2019.

Kernel

Željeli bismo zahvaliti Brandonu Azadu (Google Project Zero) na pomoći.

Unos je dodan 29. listopada 2019.

mDNSResponder

Željeli bismo zahvaliti Gregoru Langu (e.solutions GmbH) na pomoći.

Unos je dodan 29. listopada 2019.

Profili

Željeli bismo zahvaliti Eriku Johnsonu (srednja škola Vernon Hills) i Jamesu Seeleyju (@Code4iOS) (Shriver Job Corps) na pomoći.

Unos je dodan 29. listopada 2019.

Safari

Željeli bismo zahvaliti Yiğitu Canu Yilmazu (@yilmazcanyigit) (TurkishKit) na pomoći.

Unos je dodan 29. listopada 2019.

WebKit

Željeli bismo zahvaliti MinJeong Kim (Laboratorij za informacijsku sigurnost, Nacionalno sveučilište Chungnam), JaeCheolu Ryou (Laboratorij za informacijsku sigurnost, Nacionalno sveučilište Chungnam u Južnoj Koreji) i cc u suradnji s inicijativom Zero Day (Trend Micro) na pomoći.

Unos je dodan 29. listopada 2019.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: