Apie „watchOS 6.1.1“ saugos turinį

Šiame dokumente aprašomas „watchOS 6.1.1“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikiami puslapyje „Apple“ saugos naujiniai.

Kai įmanoma, „Apple“ saugos dokumentuose nurodomi pažeidžiamumai pagal CVE-ID.

Norėdami gauti daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.

„watchOS 6.1.1“

„CallKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: skambučiai, įvykdyti naudojant „Siri“, gali būti inicijuojami naudojant netinkamą mobiliojo ryšio planą įrenginiuose, turinčiuose du aktyvius planus.

Aprašas: API problema kyla apdorojant siunčiamus „Siri“ inicijuotus telefono skambučius. Ši problema išspręsta pagerinus būsenos apdorojimą.

CVE-2019-8856: Fabrice TERRANCLE iš TERRANCLE SARL

„CFNetwork“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: privilegijuotoje tinklo padėtyje esantis atakuotojas gali apeiti HSTS, skirtą ribotam konkrečių aukščiausio lygio domenų skaičiui, kurie nebuvo įkelti į HTST išankstinį sąrašą

Aprašas: konfigūravimo problema išspręsta naudojant papildomus apribojimus.

CVE-2019-8834: Rob Sayre (@sayrer)

„CFNetwork“ tarpiniai serveriai

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali turėti galimybę gauti aukštesnes privilegijas

Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.

CVE-2019-8848: Zhuo Liang iš „Qihoo 360 Vulcan“ komandos

„FaceTime“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiško vaizdo įrašo apdorojimas per „FaceTime“ gali lemti savavališką kodo vykdymą

Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.

CVE-2019-8830: natashenka iš „Google Project Zero“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas

Aprašas: atminties sugadinimo problema išspręsta pašalinus pažeidžiamą kodą.

CVE-2019-8833: Ian Beer iš „Google Project Zero“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8828: Cim Stordal iš „Cognite“

CVE-2019-8838: Dr. Silvio Cesare iš „InfoSect“

„libexpat“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiškai sukurto XML failo analizė gali atskleisti naudotojo informaciją

Aprašas: ši problema išspręsta atnaujinus į „Expat“ 2.2.8 versiją.

CVE-2019-15903: Joonun Jang

„libpcap“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kelios „libpcap“ problemos

Aprašas: kelios problemos išspręstos atnaujinus į „libpcap“ 1.9.1 versiją.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Apsauga

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8832: Insu Yun iš „SSLab“ „Georgia Tech“

„WebKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Problema: apdorojant kenkėjiškai sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: kelios sugadintos atminties problemos buvo išspręstos patobulinus atminties valdymą.

CVE-2019-8844: William Bowling (@wcbowling)

Papildomos padėkos

Paskyros

Norėtume pareikšti padėką Allison Husain iš Kalifornijos Berklio universiteto, Kishan Bagaria (KishanBagaria.com), Tom Snelling iš Loughborough universiteto už jų pagalbą.

Pagrindiniai duomenys

Norime pareikšti padėką natashenka iš „Google Project Zero“ už jos pagalbą.