Apie „watchOS 6.1“ saugos turinį

Šiame dokumente aprašomas „watchOS 6.1“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikti puslapyje „Apple“ saugos naujiniai.

Kur įmanoma, „Apple“ saugos dokumentuose nurodomas pažeidžiamumo CVE-ID.

Daugiau informacijos apie saugą žr. puslapyje „Apple“ produktų sauga.

„watchOS 6.1“

Paskyros

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: nuotolinis įsilaužėlis gali sukelti atminties nutekėjimą

Aprašas: ribų nepaisančio skaitymo problema išspręsta patobulinus įvesties duomenų patikros procesą.

CVE-2019-8787: Steffen Klee (Darmštato technikos universiteto „Secure Mobile Networking Lab“ skyrius)

AirDrop

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: „AirDrop“ perkėlimo operacijos gali būti netikėtai priimtos režimu „Everyone“ (visi)

Aprašas: logikos problema išspręsta patobulinus patikros procesą.

CVE-2019-8796: Allison Husain (Kalifornijos Berklio universitetas)

App Store

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: vietinis įsilaužėlis gali prisijungti prie anksčiau prisijungusio naudotojo paskyros be tinkamų kredencialų.

Aprašas: autentifikavimo problema išspręsta patobulinus būsenos valdymo procesą.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties pažeidžiamumo problema išspręsta patobulinus užrakinimo procesą.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Garso turinys

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8785: Ian Beer („Google Project Zero“)

CVE-2019-8797: 08Tc3wBB, dirbantis su „SSD Secure Disclosure“

Adresatai

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: apdorojant kenkimo tikslais sukurtą adresatą gali būti vykdoma apsimestinės naudotojo sąsajos operacija

Aprašas: nenuoseklios naudotojo sąsajos problema išspręsta patobulinus būsenos valdymo procesą.

CVE-2017-7152: Oliver Paukstadt („Thinking Objects GmbH“) (to.com)

Failų išdėstymo sistemos įvykiai

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8798: „ABC Research s.r.o.“, dirbanti su „Trend Micro“ iniciatyva „Zero Day Initiative“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: programa gali skaityti ribotąją atmintį

Aprašas: patikros problema išspręsta patobulinus įvesties duomenų valymo procesą.

CVE-2019-8794: 08Tc3wBB, dirbantis su „SSD Secure Disclosure“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.

CVE-2019-8786: Wen Xu (Džordžijos technologijos instituto „Microsoft Offensive Security Research“ komandos praktikantas)

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis

Aprašas: atminties pažeidžiamumo problema išspręsta patobulinus užrakinimo procesą.

CVE-2019-8829: Jann Horn („Google Project Zero“)

libxslt

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: kelios su „libxslt“ susijusios problemos

Aprašas: kelios atminties trikties problemos išspręstos patobulinus įvesties duomenų patikros procesą.

CVE-2019-8750: rado OSS-Fuzz

VoiceOver

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: asmuo, turintis fizinę prieigą prie „iOS“ įrenginio, gali pasiekti adresatus iš užrakto ekrano

Aprašas: problema išspręsta apribojus parinktis, siūlomas užrakinto įrenginio ekrane.

CVE-2019-8775: videosdebarraquito

WebKit

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdoma universali scenarijų įterpimo svetainėse ataka

Aprašas: logikos problema išspręsta patobulinus būsenos valdymo procesą.

CVE-2019-8764: Sergei Glazunov („Google Project Zero“)

WebKit

Taikoma: „Apple Watch Series 1“ ir naujesnė versija

Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas

Aprašas: kelios atminties trikties problemos išspręstos patobulinus atminties apdorojimo procesą.

CVE-2019-8743: zhunki („Qi'anxin“ grupės „Legendsec“ „Codesafe“ komanda)

CVE-2019-8765: Samuel Groß („Google Project Zero“)

CVE-2019-8766: rado OSS-Fuzz

CVE-2019-8808: rado OSS-Fuzz

CVE-2019-8811: Soyeon Park (Džordžijos technologijos instituto „SSLab“)

CVE-2019-8812: JunDong Xie („Ant-financial Light-Year Security Lab“)

CVE-2019-8816: Soyeon Park (Džordžijos technologijos instituto „SSLab“)

CVE-2019-8820: Samuel Groß („Google Project Zero“)

Papildomos padėkos

boringssl

Norime padėkoti Nimrod Aviram (Tel Avivo universitetas), Robert Merget (Rūro universitetas Bochume), Juraj Somorovsky (Rūro universitetas Bochume) už pagalbą.

CFNetwork

Norime padėkoti Lily Chen („Google“) už pagalbą.

Branduolys

Norime padėkoti Daniel Roethlisberger („Swisscom CSIRT“) ir Jann Horn („Google Project Zero“) už pagalbą.

Safari

Norime padėkoti Ron Summers ir Ronald van der Meer už pagalbą.

WebKit

Norime padėkoti Zhiyi Zhang („Qi'anxin“ grupės „Legendsec“ „Codesafe“ komanda) už pagalbą.