Par watchOS 6.2 drošības saturu

Šajā dokumentā ir aprakstīts watchOS 6.2 drošības saturs.

Par Apple drošības atjauninājumiem

Klientu aizsardzības nolūkos Apple neizpauž, neapspriež un neapstiprina ar drošību saistītus jautājumus, kamēr nav pabeigta izmeklēšana un nav pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.

Apple drošības dokumentos ievainojamības atsauce ir CVE-ID (ja tas ir iespējams).

Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.

watchOS 6.2

ActionKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izmantot privātu struktūru nodrošinātu SSH klientu.

Apraksts: problēma novērsta, izmantojot jaunu pilnvaru.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izmantot patvaļīgas pilnvaras.

Apraksts: problēma novērsta, uzlabojot pārbaudes.

CVE-2020-3883: Linus Henze (pinauten.de)

CoreFoundation

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga lietotne, iespējams, var paaugstināt privilēģijas.

Apraksts: konstatēta ar atļaujām saistīta problēma. Problēma novērsta, uzlabojot atļauju validāciju.

CVE-2020-3913: Timo Christ no Avira Operations GmbH & Co. KG

Ikonas

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga lietotne, iespējams, var noteikt, kādas citas lietotnes ir instalējis lietotājs.

Apraksts: problēma novērsta, uzlabojot ikonu kešatmiņas apstrādi.

CVE-2020-9773: Chilik Tamir no Zimperium zLabs

Ikonas

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: alternatīvas lietotnes ikonas iestatīšana var atklāt fotoattēlu bez nepieciešamības iegūt atļauju piekļūt fotoattēliem.

Apraksts: piekļuves problēma novērsta, ieviešot papildu smilškastes ierobežojumus.

CVE-2020-3916: Vitaliy Alekseev (@villy21)

Attēlu apstrāde

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām.

Apraksts: problēma saistībā ar atmiņas lietošanu pēc tās atbrīvošanas novērsta, uzlabojot atmiņas pārvaldību.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: atmiņas inicializācijas problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3919: anonīms pētnieks

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu.

Apraksts: atmiņas inicializācijas problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3914: pattern-f (@pattern_F_) no WaCai

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.

Apraksts: vairākas atmiņas bojājumu problēmas novērstas, uzlabojot stāvokļu pārvaldību.

CVE-2020-9785: Proteas no Qihoo 360 Nirvan komandas

libxml2

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: vairākas libxml2 problēmas.

Apraksts: bufera pārpildes problēma novērsta, uzlabojot robežu pārbaudi.

CVE-2020-3909: LGTM.com

CVE-2020-3911: atklāja OSS-Fuzz

libxml2

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: vairākas libxml2 problēmas.

Apraksts: bufera pārpildes problēma novērsta, uzlabojot lieluma validāciju.

CVE-2020-3910: LGTM.com

Ziņojumi

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: persona ar fizisku piekļuvi bloķētai iOS ierīcei, iespējams, var atbildēt uz ziņojumiem arī tad, ja atbilžu sniegšana ir atspējota.

Apraksts: loģikas problēma novērsta, uzlabojot stāvokļu pārvaldību.

CVE-2020-3891: Peter Scott

WebKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao, kas strādā ar ADLab no Venustech

WebKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.

Apraksts: veidu neskaidrības problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt patvaļīga koda izpildi.

Apraksts: veidu neskaidrības problēma novērsta, uzlabojot atmiņas apstrādi.

CVE-2020-3897: Brendan Draper (@6r3nd4n), kas strādā ar Trend Micro Zero Day Initiative

Papildu atzinība

FontParser

Vēlamies izteikt atzinību Matthew Denton no Google Chrome par sniegto palīdzību.

Kernel

Vēlamies izteikt atzinību Siguza par sniegto palīdzību.

LinkPresentation

Vēlamies izteikt atzinību Travis par sniegto palīdzību.

Phone

Vēlamies izteikt atzinību Yiğit Can YILMAZ (@yilmazcanyigit) par sniegto palīdzību.

rapportd

Vēlamies izteikt atzinību Alexander Heinrich (@Sn0wfreeze) no Technische Universität Darmstadt par sniegto palīdzību.

WebKit

Vēlamies izteikt atzinību Samuel Groß no Google Project Zero komandas par sniegto palīdzību.