Apie „watchOS 6.1.1“ saugos turinį

Šiame dokumente aprašomas „watchOS 6.1.1“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai išvardinti puslapyje „Apple“ saugos naujiniai.

Kai įmanoma, „Apple“ saugos dokumentuose nurodyti pažeidžiamumai pagal CVE-ID.

Jei reikia daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.

„watchOS 6.1.1“

Išleista 2019 m. gruodžio 10 d.

„CallKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: skambučiai, įvykdyti naudojant „Siri“, gali būti inicijuojami naudojant netinkamą mobiliojo ryšio planą įrenginiuose, turinčiuose du aktyvius planus.

Aprašas: API problema kyla apdorojant siunčiamus „Siri“ inicijuotus telefono skambučius. Ši problema išspręsta pagerinus būsenos apdorojimą.

CVE-2019-8856: Fabrice TERRANCLE iš TERRANCLE SARL

„CFNetwork“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: privilegijuotoje tinklo padėtyje esantis atakuotojas gali apeiti HSTS, skirtą ribotam konkrečių aukščiausio lygio domenų skaičiui, kurie nebuvo įkelti į HTST išankstinį sąrašą

Aprašas: konfigūravimo problema išspręsta naudojant papildomus apribojimus.

CVE-2019-8834: Rob Sayre (@sayrer)

Įrašas pridėtas 2020 m. vasario 3 d.

„CFNetwork“ tarpiniai serveriai

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali gauti aukštesnes privilegijas

Aprašas: ši problema išspręsta naudojant patobulintas patikras.

CVE-2019-8848: Zhuo Liang iš „Qihoo 360 Vulcan“ komandos

„FaceTime“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiško vaizdo įrašo apdorojimas per „FaceTime“ gali lemti savavališką kodo vykdymą

Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.

CVE-2019-8830: Natalie Silvanovich iš „Google Project Zero“

„IOUSBDeviceFamily“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali savavališkai vykdyti kodą naudodama branduolio privilegijas

Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2019-8836: „Xiaolong Bai“ ir „Min (Spark) Zheng of Alibaba Inc.“ ir Luyi Xing iš „Indiana University Bloomington“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali savavališkai vykdyti kodą naudodama branduolio privilegijas

Aprašas: atminties sugadinimo problema išspręsta pašalinus pažeidžiamą kodą.

CVE-2019-8833: Ian Beer iš „Google Project Zero“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali savavališkai vykdyti kodą naudodama branduolio privilegijas

Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2019-8828: Cim Stordal iš „Cognite“

CVE-2019-8838: Dr. Silvio Cesare iš „InfoSect“

„libexpat“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiškai sukurto XML failo analizė gali atskleisti naudotojo informaciją

Aprašas: ši problema išspręsta atnaujinus į „Expat“ 2.2.8 versiją.

CVE-2019-15903: Joonun Jang

„libpcap“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kelios „libpcap“ problemos

Aprašas: kelios problemos išspręstos atnaujinus į „libpcap“ 1.9.1 versiją.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Įrašas pridėtas 2020 m. balandžio 4 d.

Apsauga

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali savavališkai vykdyti kodą naudodama sistemos privilegijas

Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2019-8832: Insu Yun iš „SSLab“ „Georgia Tech“

„WebKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiškai sukurto žiniatinklio turinio apdorojimas gali lemti savavališką kodo vykdymą

Aprašas: kelios atminties sugadinimo problemos išspręstos naudojant patobulintą atminties apdorojimą.

CVE-2019-8844: William Bowling (@wcbowling)

Papildomas atpažinimas

Paskyros

Norėtume pareikšti padėką Allison Husain iš Kalifornijos Berklio universiteto, Kishan Bagaria (KishanBagaria.com), Tom Snelling iš Loughborough universiteto už jų pagalbą.

Įrašas atnaujintas 2020 m. balandžio 4 d.

Pagrindiniai duomenys

Norime pareikšti padėką Natalie Silvanovich iš „Google Project Zero“ už jos pagalbą.

Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.

Publikavimo data: