A watchOS 6 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 6 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
watchOS 6
Hang
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8706: Yu Zhou (Ant-Financial Light-Year Security Lab)
Hang
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott hangfájlok feldolgozásakor felfedhető volt a korlátozott memória.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8850: anonim kutató, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CFNetwork
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.
Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.
CVE-2019-8753: Łukasz Pilorz (Standard Chartered GBS Poland)
CoreAudio
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott filmek feldolgozása lehetőséget adott a folyamatmemóriához való illetéktelen hozzáférésre.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8705: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CoreCrypto
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Előfordult, hogy nagy mennyiségű bemenet feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy szolgáltatásmegtagadási hibát.
CVE-2019-8741: Nicky Mouha (NIST)
Foundation
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.
CVE-2019-8746: natashenka és Samuel Groß (Google Project Zero)
IOUSBDeviceFamily
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8718: Joshua Hill és Sem Voigtländer
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: A jogosultságok megadásának javításával hárítottuk el a problémát.
CVE-2019-8703: anonim kutató
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Előfordult, hogy a helyi alkalmazások olvasni tudták az állandó fiókazonosítókat.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2019-8809: Apple
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A rosszindulatú alkalmazások meg tudták állapítani a kernelmemória felépítését.
Leírás: Memóriasérülési probléma lépett fel az IPv6-csomagok kezelésekor. Hatékonyabb memóriakezeléssel küszöböltük ki a problémát.
CVE-2019-8744: Zhuo Liang (Qihoo 360 Vulcan Team)
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8717: Jann Horn (Google Project Zero)
libxml2
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A libxml2 motorral kapcsolatos többféle probléma.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.
CVE-2019-8749: megtaláló: OSS-Fuzz
CVE-2019-8756: megtaláló: OSS-Fuzz
mDNSResponder
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Egy fizikailag a közelben lévő támadó passzív módon megfigyelhette a készülékneveket az AWDL-kommunikációk során.
Leírás: A problémát úgy hárítottuk el, hogy a készülékneveket véletlenszerű azonosítóra cseréltük le.
CVE-2019-8799: David Kreitschmann és Milan Stute (Secure Mobile Networking Lab, Technische Universität Darmstadt)
UIFoundation
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.
CVE-2019-8745: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
UIFoundation
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2019-8831: riusksk (VulWar Corp), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
WebKit
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására nyílhatott lehetőség.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2019-8710: megtaláló: OSS-Fuzz
CVE-2019-8728: Junho Jang (LINE Security Team) és Hanul Choi (ABLY Corporation)
CVE-2019-8734: megtaláló: OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao a Venustech ADLab közreműködőjeként
CVE-2019-8752: Dongzhuo Zhao a Venustech ADLab közreműködőjeként
CVE-2019-8773: megtaláló: OSS-Fuzz
Wi-Fi
A következőkhöz érhető el: Apple Watch Series 3 és újabb modellek.
Érintett terület: A készülékek passzív módon nyomon követhetők voltak a Wi-Fi MAC-címük alapján.
Leírás: Egy felhasználói adatvédelmi probléma hárult el a szórási MAC-cím eltávolításával.
CVE-2019-8854: Ta-Lun Yen (UCCU Hacker), FuriousMacTeam (United States Naval Academy) és Mitre Cooperation
További köszönetnyilvánítás
Hang
Köszönjük riusksk (VulWar Corp, a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.
boringssl
Köszönjük Thijs Alkemade (@xnyhps; Computest) segítségét.
HomeKit
Köszönjük Tian Zhang segítségét.
Kernel
Köszönjük Brandon Azad (Google Project Zero) segítségét.
mDNSResponder
Köszönjük Gregor Lang (e.solutions GmbH) segítségét.
Profilok
Köszönjük Erik Johnson (Vernon Hills High School) és James Seeley (@Code4iOS, Shriver Job Corps) segítségét.
Safari
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
WebKit
Köszönjük MinJeong Kim (Information Security Lab, Chungnam National University), JaeCheol Ryou (Information Security Lab, Chungnam National University, Dél-Korea) és cc (a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.