Apie „watchOS 6“ saugos turinį
Šiame dokumente aprašomas „watchOS 6“ saugos turinys.
Apie „Apple“ saugos naujinius
Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikti puslapyje „Apple“ saugos naujiniai.
Kur įmanoma, „Apple“ saugos dokumentuose nurodomas pažeidžiamumo CVE-ID.
Daugiau informacijos apie saugą žr. puslapyje „Apple“ produktų sauga.
„watchOS 6“
Garso turinys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą garso failą gali būti vykdomas atsitiktinis kodas
Aprašas: atminties trikties problema išspręsta patobulinus būsenos valdymo procesą.
CVE-2019-8706: Yu Zhou („Ant-financial Light-Year Security Lab“)
Garso turinys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą garso failą gali būti atskleista ribotoji atmintis
Aprašas: ribų nepaisančio skaitymo problema išspręsta patobulinus įvesties duomenų patikros procesą.
CVE-2019-8850: anoniminis tyrėjas, dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“
CFNetwork
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdoma scenarijų įterpimo svetainėse ataka
Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.
CVE-2019-8753: Łukasz Pilorz („Standard Chartered GBS Poland“)
CoreAudio
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą filmą gali būti atskleista apdorojimo atmintis
Aprašas: atminties trikties problema išspręsta patobulinus patikros procesą.
CVE-2019-8705: riusksk („VulWar Corp“), dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“
CoreCrypto
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant didelį kiekį įvesties duomenų gali būti sutrikdyta paslauga
Aprašas: paslaugos sutrikdymo problema išspręsta patobulinus įvesties duomenų patikros procesą.
CVE-2019-8741: Nicky Mouha (NIST)
Foundation
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: nuotolinis įsilaužėlis gali netikėtai išjungti programą arba vykdyti atsitiktinį kodą
Aprašas: ribų nepaisančio skaitymo problema išspręsta patobulinus įvesties duomenų patikros procesą.
CVE-2019-8746: Natalie Silvanovich ir Samuel Groß („Google Project Zero“)
IOUSBDeviceFamily
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8718: Joshua Hill ir Sem Voigtländer
Branduolys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties pažeidžiamumo problema išspręsta patobulinus užrakinimo procesą.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Branduolys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: vietinė programa gali perskaityti nuolatinį paskyros identifikatorių
Aprašas: patikros problema išspręsta patobulinus logiką.
CVE-2019-8809: „Apple“
Branduolys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Branduolys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: kenkimo programa gali nustatyti branduolio atminties išdėstymo schemą
Aprašas: apdorojant IPv6 paketus kildavo atminties trikties problema. Ši problema išspręsta patobulinus atminties valdymo procesą.
CVE-2019-8744: Zhuo Liang („Qihoo 360 Vulcan“ komanda)
Branduolys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus būsenos valdymo procesą.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Branduolys
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8717: Jann Horn („Google Project Zero“)
libxml2
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: kelios su „libxml2“ susijusios problemos
Aprašas: kelios atminties trikties problemos išspręstos patobulinus įvesties duomenų patikros procesą.
CVE-2019-8749: rado OSS-Fuzz
CVE-2019-8756: rado OSS-Fuzz
mDNSResponder
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: fiziškai arti esantis įsilaužėlis gali pasyviai stebėti įrenginių pavadinimus, kai vykdomi AWDL ryšiai
Aprašas: ši problema išspręsta pakeitus įrenginio pavadinimus atsitiktiniais identifikatoriais.
CVE-2019-8799: David Kreitschmann ir Milan Stute (Darmštato technikos universiteto „Secure Mobile Networking Lab“ skyrius)
UIFoundation
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą teksto failą gali būti vykdomas atsitiktinis kodas
Aprašas: buferio perpildos problema išspręsta patobulinus ribų tikrinimo procesą.
CVE-2019-8745: riusksk („VulWar Corp“), dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“
UIFoundation
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8831: riusksk („VulWar Corp“), dirbantis su „Trend Micro“ iniciatyva „Zero Day Initiative“
WebKit
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: kelios atminties trikties problemos išspręstos patobulinus atminties apdorojimo procesą.
CVE-2019-8710: rado OSS-Fuzz
CVE-2019-8728: Junho Jang (LINE saugos komanda) ir Hanul Choi („ABLY Corporation“)
CVE-2019-8734: rado OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao, dirbantis su „Venustech ADLab“
CVE-2019-8752: Dongzhuo Zhao, dirbantis su „Venustech ADLab“
CVE-2019-8773: rado OSS-Fuzz
Wi-Fi
Taikoma: „Apple Watch Series 3“ ir naujesnė versija
Problema: įrenginys galima būti pasyviai stebimas pagal jo „WiFi“ MAC adresą
Aprašas: naudotojų privatumo problema išspręsta pašalinus transliuojamą MAC adresą.
CVE-2019-8854: Ta-Lun Yen („UCCU Hacker“), „FuriousMacTeam“ (JAV karinio laivyno akademija) ir „Mitre Cooperation“
Papildomos padėkos
Garso turinys
Norime padėkoti riusksk („VulWar Corp“), dirbančiam su „Trend Micro“ iniciatyva „Zero Day Initiative“ už pagalbą.
boringssl
Norime padėkoti Thijs Alkemade (@xnyhps) („Computest“) už pagalbą.
HomeKit
Norime padėkoti Tian Zhang už pagalbą.
Branduolys
Norime padėkoti Brandon Azad („Google Project Zero“) už pagalbą.
mDNSResponder
Norime padėkoti Gregor Lang („e.solutions GmbH“) už pagalbą.
Profiliai
Norime padėkoti Erik Johnson (Vernon Hills vidurinė mokykla) ir James Seeley (@Code4iOS) („Shriver Job Corps“) už pagalbą.
Safari
Norime padėkoti Yiğit Can YILMAZ (@yilmazcanyigit) už pagalbą.
WebKit
Norima padėkoti MinJeong Kim (Chungnam nacionalinio universiteto Informacijos saugos laboratorija), JaeCheol Ryou (Pietų Korėjos Chungnam nacionalinio universiteto Informacijos saugos laboratorija), dirbantiems su „Trend Micro“ iniciatyva „Zero Day Initiative“, už pagalbą.
Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.