A watchOS 6.2 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 6.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

watchOS 6.2

Kiadás dátuma: 2020. március 24.

Fiókok

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A sandboxban lévő folyamatok meg tudták kerülni a sandbox-korlátozásokat.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9772: Allison Husain (UC Berkeley)

Bejegyzés hozzáadva: 2020. május 21.

ActionKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások magánkeretrendszerek által biztosított SSH-klienseket tudtak használni.

Leírás: Egy új jogosultság bevezetésével hárítottuk el a problémát.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások tetszőleges jogosultságokat tudtak használni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2020-3883: Linus Henze (pinauten.de)

CoreFoundation

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Engedélyezési hiba állt fenn. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2020-3913: Timo Christ (Avira Operations GmbH & Co. KG)

Ikonok

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Alternatív alkalmazásikon beállításakor a rendszer hozzáférésre vonatkozó engedély kérése nélkül felfedhette a fotókat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2020-3916: Vitaliy Alekseev (@villy21)

Képfeldolgozás

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-3919: Alex Plaskett (F-Secure Consulting)

Bejegyzés frissítve: 2020. május 21.

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2020-3914: pattern-f (@pattern_F_; WaCai)

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2020-9785: Proteas (Qihoo 360 Nirvan Team)

libxml2

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A libxml2-vel kapcsolatos többféle probléma.

Leírás: Hatékonyabb határérték-ellenőrzés révén kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-3909: LGTM.com

CVE-2020-3911: megtaláló: OSS-Fuzz

libxml2

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A libxml2-vel kapcsolatos többféle probléma.

Leírás: Hatékonyabb méretellenőrzéssel kiküszöböltünk egy puffertúlcsordulást okozó problémát.

CVE-2020-3910: LGTM.com

Üzenetek

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Egy zárolt iOS-készülékhez fizikailag hozzáférő személy válaszolhatott az üzenetekre akkor is, ha a válaszok le voltak tiltva.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.

CVE-2020-3891: Peter Scott

Sandbox

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A helyi felhasználók ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: További sandbox-korlátozásokkal elhárítottunk egy hozzáféréssel összefüggő problémát.

CVE-2020-3918: Augusto Alvarez (Outcourse Limited)

Bejegyzés hozzáadva: 2020. május 1.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Egyes webhelyek nem jelentek meg a Safari beállításaiban.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2020-9787: Ryan Pickren (ryanpickren.com)

Bejegyzés hozzáadva: 2020. május 1.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2020-3899: megtaláló: OSS-Fuzz

Bejegyzés hozzáadva: 2020. május 1.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao a Venustech ADLab közreműködőjeként

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A távoli támadók elő tudták idézni egy tetszőleges kód végrehajtását.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy típustévesztési hibát.

CVE-2020-3897: Brendan Draper (@6r3nd4n), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

További köszönetnyilvánítás

FontParser

Köszönjük Matthew Denton (Google Chrome) segítségét.

Kernel

Köszönjük Siguza segítségét.

LinkPresentation

Köszönjük Travis segítségét.

Telefon

Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.

rapportd

Köszönjük Alexander Heinrich (@Sn0wfreeze; Technische Universität Darmstadt) segítségét.

WebKit

Köszönjük Samuel Groß (Google Project Zero) segítségét.

Bejegyzés frissítve: 2020. április 4.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: