A watchOS 6.1 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 6.1 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 6.1

Kiadás dátuma: 2019. október 29.

Fiókok

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A távoli támadók ki tudtak szivárogtatni memóriát.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határértéken kívüli olvasási hibát.

CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)

AirDrop

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszer váratlanul elfogadhatta az AirDrop-átviteleket Mindenki módban.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.

CVE-2019-8796: Allison Husain of UC Berkeley

Bejegyzés frissítve: 2020. április 4.

App Store

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A helyi támadók adott esetben érvényes hitelesítő adatok nélkül is be tudtak jelentkezni egy olyan felhasználó fiókjába, aki korábban bejelentkezett.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy hitelesítéssel kapcsolatos problémát.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Hang

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8785: Ian Beer (Google Project Zero)

CVE-2019-8797: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

Kontaktok

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott kontaktok feldolgozásakor lehetőség nyílt a felhasználói felület meghamisítására.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH; to.com)

Fájlrendszeri események

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8798: ABC Research s.r.o., a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottunk egy érvényesítési hibát.

CVE-2019-8794: 08Tc3wBB az SSD Secure Disclosure csapatával együttműködésben

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2019-8786: Wen Xu (Georgia Tech, Microsoft Offensive Security Research Intern)

Bejegyzés frissítve: 2019. november 18.

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy memóriasérülési biztonsági rést.

CVE-2019-8829: Jann Horn (Google Project Zero)

Bejegyzés hozzáadva: 2019. november 8.

libxslt

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az libxslt-vel kapcsolatos többféle probléma.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk több memóriasérüléssel kapcsolatos problémát.

CVE-2019-8750: megtaláló: OSS-Fuzz

VoiceOver

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az iOS-készülékhez fizikai hozzáféréssel rendelkező személyek a zárolt képernyőről hozzá tudtak férni a kontaktokhoz.

Leírás: Úgy hárítottuk el a problémát, hogy korlátoztuk a zárolt készüléken felajánlott lehetőségek körét.

CVE-2019-8775: videosdebarraquito

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozása univerzális, webhelyek közötti, parancsfájlt alkalmazó támadásokra adott lehetőséget.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2019-8764: Sergei Glazunov (Google Project Zero)

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2019-8743: zhunki (Codesafe Team, Legendsec, Qi'anxin Group)

CVE-2019-8765: Samuel Groß (Google Project Zero)

CVE-2019-8766: megtaláló: OSS-Fuzz

CVE-2019-8808: megtaláló: OSS-Fuzz

CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)

CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)

CVE-2019-8820: Samuel Groß (Google Project Zero)

Bejegyzés frissítve: 2019. november 18.

További köszönetnyilvánítás

boringssl

Köszönjük Nimrod Aviram (Tel Aviv University), Robert Merget (Ruhr University Bochum) és Juraj Somorovsky (Ruhr University Bochum) segítségét.

CFNetwork

Köszönjük Lily Chen (Google) segítségét.

Kernel

Köszönjük Daniel Roethlisberger (Swisscom CSIRT) és Jann Horn (Google Project Zero) segítségét.

Bejegyzés frissítve: 2019. november 8.

Safari

Köszönjük Ron Summers és Ronald van der Meer segítségét.

Bejegyzés frissítve: 2020. február 11.

WebKit

Köszönjük Zhiyi Zhang (Codesafe Team, Legendsec, Qi'anxin Group) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: 2023. november 06.

Hasznos?