Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva i ne potvrđuje sigurnosne probleme niti o njima raspravlja dok se ne provede istraga i ne stave na raspolaganje zakrpe ili novija izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda.
watchOS 6.1.2
Objavljeno 28. siječnja 2020.
AnnotationKit
Dostupno za: Apple Watch Series 1 i noviji
Učinak: udaljeni napadač mogao je uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3877: anonimni istraživač i inicijativa Zero Day (Trend Micro)
Audio
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3857: Zhuo Liang (tim Vulcan, Qihoo 360)
files
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerna aplikacija može prebrisati proizvoljne datoteke
Opis: problem s pristupom riješen je poboljšanim ograničenjima pristupa.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Stavka dodana 19. siječnja 2022.
ImageIO
Dostupno za: Apple Watch Series 1 i noviji
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3826: Samuel Groß (Google Project Zero)
CVE-2020-3870
CVE-2020-3878: Samuel Groß (Google Project Zero)
CVE-2020-3880: Samuel Groß (Google Project Zero)
Stavka ažurirana 4. travnja 2020.
IOAcceleratorFamily
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3837: Brandon Azad (Google Project Zero)
IOUSBDeviceFamily
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2019-8836: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.) te Luyi Xing (Sveučilište Bloomington u Indiani)
Stavka dodana 22. lipnja 2020.
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: aplikacije su mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2020-3875: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Djelovanje: zlonamjerne aplikacije mogle su odrediti raspored elemenata memorije kernela
Opis: problem s pristupom riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3836: Brandon Azad (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: aplikacije su mogle čitati ograničenu memoriju
Opis: problem s inicijalizacijom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3872: Haakon Garseg Mørk (Cognite) i Cim Stordal (Cognite)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3842: Ned Williamson i Google Project Zero
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2020-3834: Xiaolong Bai i Min (Spark) Zheng (Alibaba Inc.), Luyi Xing (Sveučilište Bloomington u Indiani)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz kernelske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3860: Proteas (Qihoo 360 Nirvan Team)
Kernel
Dostupno za: Apple Watch Series 1 i noviji
Učinak: zlonamjerne aplikacije mogle su uz sistemske ovlasti izvršiti proizvoljni kod
Opis: problem sa zamjenom vrsta riješen je poboljšanim upravljanjem memorijom.
CVE-2020-3853: Brandon Azad (Google Project Zero)
libxml2
Dostupno za: Apple Watch Series 1 i noviji
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2020-3846: Ranier Vilela
Stavka dodana 29. siječnja 2020.
libxpc
Dostupno za: Apple Watch Series 1 i noviji
Učinak: obradom zlonamjernog niza moglo je doći do oštećenja skupa memorijskih mjesta
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2020-3856: Ian Beer (Google Project Zero)
libxpc
Dostupno za: Apple Watch Series 1 i noviji
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2020-3829: Ian Beer (Google Project Zero)
wifivelocityd
Dostupno za: Apple Watch Series 1 i noviji
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem je riješen poboljšanom logikom za dozvole.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Dodatna zahvala
IOSurface
Na pomoći zahvaljujemo Liangu Chenu (@chenliang0817).