Apie „Apple“ saugos naujinius
Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai pateikiami puslapyje „Apple“ saugos naujiniai.
Kai įmanoma, „Apple“ saugos dokumentuose nurodomi pažeidžiamumai pagal CVE-ID.
Norėdami gauti daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.
„watchOS 6.1.1“
Išleista 2019 m. gruodžio 10 d.
„CallKit“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: skambučiai, įvykdyti naudojant „Siri“, gali būti inicijuojami naudojant netinkamą mobiliojo ryšio planą įrenginiuose, turinčiuose du aktyvius planus.
Aprašas: API problema kyla apdorojant siunčiamus „Siri“ inicijuotus telefono skambučius. Ši problema išspręsta pagerinus būsenos apdorojimą.
CVE-2019-8856: Fabrice TERRANCLE iš TERRANCLE SARL
„CFNetwork“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: privilegijuotoje tinklo padėtyje esantis atakuotojas gali apeiti HSTS, skirtą ribotam konkrečių aukščiausio lygio domenų skaičiui, kurie nebuvo įkelti į HTST išankstinį sąrašą
Aprašas: konfigūravimo problema išspręsta naudojant papildomus apribojimus.
CVE-2019-8834: Rob Sayre (@sayrer)
Įrašas pridėtas 2020 m. vasario 3 d.
„CFNetwork“ tarpiniai serveriai
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali turėti galimybę gauti aukštesnes privilegijas
Aprašas: ši problema išspręsta patobulinus tikrinimo procesus.
CVE-2019-8848: Zhuo Liang iš „Qihoo 360 Vulcan“ komandos
„FaceTime“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: kenkėjiško vaizdo įrašo apdorojimas per „FaceTime“ gali lemti savavališką kodo vykdymą
Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.
CVE-2019-8830: natashenka iš „Google Project Zero“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties sugadinimo problema išspręsta pašalinus pažeidžiamą kodą.
CVE-2019-8833: Ian Beer iš „Google Project Zero“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8828: Cim Stordal iš „Cognite“
CVE-2019-8838: Dr. Silvio Cesare iš „InfoSect“
„libexpat“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: kenkėjiškai sukurto XML failo analizė gali atskleisti naudotojo informaciją
Aprašas: ši problema išspręsta atnaujinus į „Expat“ 2.2.8 versiją.
CVE-2019-15903: Joonun Jang
„libpcap“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: kelios „libpcap“ problemos
Aprašas: kelios problemos išspręstos atnaujinus į „libpcap“ 1.9.1 versiją.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Įrašas pridėtas 2020 m. balandžio 4 d.
Apsauga
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Problema: programa gali vykdyti atsitiktinį kodą su sistemos teisėmis
Aprašas: atminties trikties problema išspręsta patobulinus atminties apdorojimo procesą.
CVE-2019-8832: Insu Yun iš „SSLab“ „Georgia Tech“
„WebKit“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Problema: apdorojant kenkėjiškai sukurtą žiniatinklio turinį gali būti vykdomas atsitiktinis kodas
Aprašas: kelios sugadintos atminties problemos buvo išspręstos patobulinus atminties valdymą.
CVE-2019-8844: William Bowling (@wcbowling)
Papildomos padėkos
Paskyros
Norėtume pareikšti padėką Allison Husain iš Kalifornijos Berklio universiteto, Kishan Bagaria (KishanBagaria.com), Tom Snelling iš Loughborough universiteto už jų pagalbą.
Įrašas atnaujintas 2020 m. balandžio 4 d.
Pagrindiniai duomenys
Norime pareikšti padėką natashenka iš „Google Project Zero“ už jos pagalbą.