Apie „watchOS 6.1“ saugos turinį
Šiame dokumente aprašomas „watchOS 6.1“ saugos turinys.
Apie „Apple“ saugos naujinius
Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikti puslapyje „Apple“ saugos naujiniai.
Kur įmanoma, „Apple“ saugos dokumentuose nurodomas pažeidžiamumo CVE-ID.
Daugiau informacijos apie saugą žr. puslapyje „Apple“ produktų sauga.
„watchOS 6.1“
Paskyros
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: nuotolinis įsilaužėlis gali sukelti atminties nutekėjimą
Aprašas: ribų nepaisančio skaitymo problema išspręsta patobulinus įvesties duomenų patikros procesą.
CVE-2019-8787: Steffen Klee (Darmštato technikos universiteto „Secure Mobile Networking Lab“ skyrius)
AirDrop
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: „AirDrop“ perkėlimo operacijos gali būti netikėtai priimtos režimu „Everyone“ (visi)
Aprašas: logikos problema išspręsta patobulinus patikros procesą.
CVE-2019-8796: Allison Husain (Kalifornijos Berklio universitetas)
App Store
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: vietinis įsilaužėlis gali prisijungti prie anksčiau prisijungusio naudotojo paskyros be tinkamų kredencialų.
Aprašas: autentifikavimo problema išspręsta patobulinus būsenos valdymo procesą.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties pažeidžiamumo problema išspręsta patobulinus užrakinimo procesą.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Garso turinys
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8785: Ian Beer („Google Project Zero“)
CVE-2019-8797: 08Tc3wBB, dirbantis su „SSD Secure Disclosure“
Adresatai
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą adresatą gali būti vykdoma apsimestinės naudotojo sąsajos operacija
Aprašas: nenuoseklios naudotojo sąsajos problema išspręsta patobulinus būsenos valdymo procesą.
CVE-2017-7152: Oliver Paukstadt („Thinking Objects GmbH“) (to.com)
Failų išdėstymo sistemos įvykiai
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8798: „ABC Research s.r.o.“, dirbanti su „Trend Micro“ iniciatyva „Zero Day Initiative“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: programa gali skaityti ribotąją atmintį
Aprašas: patikros problema išspręsta patobulinus įvesties duomenų valymo procesą.
CVE-2019-8794: 08Tc3wBB, dirbantis su „SSD Secure Disclosure“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8786: Wen Xu (Džordžijos technologijos instituto „Microsoft Offensive Security Research“ komandos praktikantas)
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: programa gali vykdyti atsitiktinį kodą su branduolio teisėmis
Aprašas: atminties pažeidžiamumo problema išspręsta patobulinus užrakinimo procesą.
CVE-2019-8829: Jann Horn („Google Project Zero“)
libxslt
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: kelios su „libxslt“ susijusios problemos
Aprašas: kelios atminties trikties problemos išspręstos patobulinus įvesties duomenų patikros procesą.
CVE-2019-8750: rado OSS-Fuzz
VoiceOver
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: asmuo, turintis fizinę prieigą prie „iOS“ įrenginio, gali pasiekti adresatus iš užrakto ekrano
Aprašas: problema išspręsta apribojus parinktis, siūlomas užrakinto įrenginio ekrane.
CVE-2019-8775: videosdebarraquito
WebKit
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdoma universali scenarijų įterpimo svetainėse ataka
Aprašas: logikos problema išspręsta patobulinus būsenos valdymo procesą.
CVE-2019-8764: Sergei Glazunov („Google Project Zero“)
WebKit
Taikoma: „Apple Watch Series 1“ ir naujesnė versija
Problema: apdorojant kenkimo tikslais sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: kelios atminties trikties problemos išspręstos patobulinus atminties apdorojimo procesą.
CVE-2019-8743: zhunki („Qi'anxin“ grupės „Legendsec“ „Codesafe“ komanda)
CVE-2019-8765: Samuel Groß („Google Project Zero“)
CVE-2019-8766: rado OSS-Fuzz
CVE-2019-8808: rado OSS-Fuzz
CVE-2019-8811: Soyeon Park (Džordžijos technologijos instituto „SSLab“)
CVE-2019-8812: JunDong Xie („Ant-financial Light-Year Security Lab“)
CVE-2019-8816: Soyeon Park (Džordžijos technologijos instituto „SSLab“)
CVE-2019-8820: Samuel Groß („Google Project Zero“)
Papildomos padėkos
boringssl
Norime padėkoti Nimrod Aviram (Tel Avivo universitetas), Robert Merget (Rūro universitetas Bochume), Juraj Somorovsky (Rūro universitetas Bochume) už pagalbą.
CFNetwork
Norime padėkoti Lily Chen („Google“) už pagalbą.
Branduolys
Norime padėkoti Daniel Roethlisberger („Swisscom CSIRT“) ir Jann Horn („Google Project Zero“) už pagalbą.
Safari
Norime padėkoti Ron Summers ir Ronald van der Meer už pagalbą.
WebKit
Norime padėkoti Zhiyi Zhang („Qi'anxin“ grupės „Legendsec“ „Codesafe“ komanda) už pagalbą.
Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.