Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 6.1.2
Objavljeno 28. siječnja 2020.
AnnotationKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: udaljeni napadač može izazvati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3877: anonimni istraživač u suradnji s inicijativom Zero Day (Trend Micro)
Zvuk
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)
Ulaz i izlaz slika
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3826: Samuel Groß (Google Project Zero)
CVE-2020-3870
CVE-2020-3878: Samuel Groß (Google Project Zero)
CVE-2020-3880: Samuel Groß (Google Project Zero)
Unos je ažuriran 4. travnja 2020.
IOAcceleratorFamily
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3837: Brandon Azad (Google Project Zero)
IOUSBDeviceFamily
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8836: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)
Unos je dodan 22. lipnja 2020.
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2020-3875: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3836: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3842: Ned Williamson u suradnji s Google Project Zero
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2020-3834: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.), Luyi Xing (Sveučilište Bloomington u Indiani)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3860: Proteas (Qihoo 360 Nirvan Team)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3853: Brandon Azad (Google Project Zero)
libxml2
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2020-3846: Ranier Vilela
Unos je dodan 29. siječnja 2020.
libxpc
Dostupno za: Apple Watch Series 1 i novije
Učinak: obrada zlonamjerno izrađenog niza može dovesti do oštećenja hrpe.
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3856: Ian Beer (Google Project Zero)
libxpc
Dostupno za: Apple Watch Series 1 i novije
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-3829: Ian Beer (Google Project Zero)
wifivelocityd
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem je riješen poboljšanjem logičkog procesa dozvola.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Dodatna zahvala
IOSurface
Željeli bismo zahvaliti Liangu Chenu (@chenliang0817) na pomoći.