Par watchOS 6.1.1 drošības saturu

Šajā dokumentā ir aprakstīts watchOS 6.1.1 drošības saturs.

Par Apple drošības atjauninājumiem

Lai aizsargātu savus klientus, Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.

Apple drošības dokumentos ievainojamības ir norādītas ar CVE-ID, ja tas ir iespējams.

Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.

watchOS 6.1.1

CallKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: zvani, kas veikti, izmantojot Siri, var tikt iniciēti, izmantojot nepareizu mobilo datu plānu ierīcēs ar diviem aktīviem plāniem.

Apraksts: konstatēta API problēma, apstrādājot izejošos tālruņa zvanus, kas iniciēti ar Siri. Problēma novērsta, uzlabojot stāvokļu apstrādi.

CVE-2019-8856: Fabrice TERRANCLE no TERRANCLE SARL

CFNetwork

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: uzbrucējs privileģētā tīkla pozīcijā, iespējams, var apiet HSTS ierobežotam skaitam konkrētu augšējā līmeņa domēnu, kas agrāk nebija iekļauti HSTS iepriekšējās ielādes sarakstā.

Apraksts: konfigurācijas problēma novērsta, ieviešot papildu ierobežojumus.

CVE-2019-8834: Rob Sayre (@sayrer)

CFNetwork starpniekserveri

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas

Apraksts: problēma tika novērsta, uzlabojot pārbaudes.

CVE-2019-8848: Zhuo Liang no Qihoo 360 Vulcan komandas

FaceTime

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga videoklipa apstrāde, izmantojot FaceTime, var izraisīt patvaļīga koda izpildi.

Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju.

CVE-2019-8830: natashenka no Google Project Zero komandas

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma novērsta, noņemot neaizsargāto kodu.

CVE-2019-8833: Ian Beer no Google Project Zero komandas

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8828: Cim Stordal no Cognite

CVE-2019-8838: Dr. Silvio Cesare no InfoSect

libexpat

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidota XML faila parsēšana var izraisīt lietotāja informācijas atklāšanu.

Apraksts: problēma novērsta, atjauninot expat versiju 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: vairākas libpcap problēmas.

Apraksts: vairākas problēmas novērstas, atjauninot libpcap versiju 1.9.1.

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Drošība

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8832: Insu Yun no Georgia Tech SSLab

WebKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi

Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.

CVE-2019-8844: William Bowling (@wcbowling)

Papildu atzinība

Konti

Vēlamies izteikt atzinību Allison Husain noUC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling no Loughborough University par sniegto palīdzību.

Core Data

Vēlamies izteikt atzinību natashenka no Google Project Zero komandas par sniegto palīdzību.