Par watchOS 6.2 drošības saturu
Šajā dokumentā ir aprakstīts watchOS 6.2 drošības saturs.
Par Apple drošības atjauninājumiem
Klientu aizsardzības nolūkos Apple neizpauž, neapspriež un neapstiprina ar drošību saistītus jautājumus, kamēr nav pabeigta izmeklēšana un nav pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.
Apple drošības dokumentos ievainojamības atsauce ir CVE-ID (ja tas ir iespējams).
Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.
watchOS 6.2
ActionKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izmantot privātu struktūru nodrošinātu SSH klientu.
Apraksts: problēma novērsta, izmantojot jaunu pilnvaru.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izmantot patvaļīgas pilnvaras.
Apraksts: problēma novērsta, uzlabojot pārbaudes.
CVE-2020-3883: Linus Henze (pinauten.de)
CoreFoundation
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga lietotne, iespējams, var paaugstināt privilēģijas.
Apraksts: konstatēta ar atļaujām saistīta problēma. Problēma novērsta, uzlabojot atļauju validāciju.
CVE-2020-3913: Timo Christ no Avira Operations GmbH & Co. KG
Ikonas
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga lietotne, iespējams, var noteikt, kādas citas lietotnes ir instalējis lietotājs.
Apraksts: problēma novērsta, uzlabojot ikonu kešatmiņas apstrādi.
CVE-2020-9773: Chilik Tamir no Zimperium zLabs
Ikonas
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: alternatīvas lietotnes ikonas iestatīšana var atklāt fotoattēlu bez nepieciešamības iegūt atļauju piekļūt fotoattēliem.
Apraksts: piekļuves problēma novērsta, ieviešot papildu smilškastes ierobežojumus.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Attēlu apstrāde
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām.
Apraksts: problēma saistībā ar atmiņas lietošanu pēc tās atbrīvošanas novērsta, uzlabojot atmiņas pārvaldību.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.
Apraksts: atmiņas inicializācijas problēma novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3919: anonīms pētnieks
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu.
Apraksts: atmiņas inicializācijas problēma novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3914: pattern-f (@pattern_F_) no WaCai
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām.
Apraksts: vairākas atmiņas bojājumu problēmas novērstas, uzlabojot stāvokļu pārvaldību.
CVE-2020-9785: Proteas no Qihoo 360 Nirvan komandas
libxml2
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: vairākas libxml2 problēmas.
Apraksts: bufera pārpildes problēma novērsta, uzlabojot robežu pārbaudi.
CVE-2020-3909: LGTM.com
CVE-2020-3911: atklāja OSS-Fuzz
libxml2
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: vairākas libxml2 problēmas.
Apraksts: bufera pārpildes problēma novērsta, uzlabojot lieluma validāciju.
CVE-2020-3910: LGTM.com
Ziņojumi
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: persona ar fizisku piekļuvi bloķētai iOS ierīcei, iespējams, var atbildēt uz ziņojumiem arī tad, ja atbilžu sniegšana ir atspējota.
Apraksts: loģikas problēma novērsta, uzlabojot stāvokļu pārvaldību.
CVE-2020-3891: Peter Scott
WebKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao, kas strādā ar ADLab no Venustech
WebKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.
Apraksts: veidu neskaidrības problēma novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt patvaļīga koda izpildi.
Apraksts: veidu neskaidrības problēma novērsta, uzlabojot atmiņas apstrādi.
CVE-2020-3897: Brendan Draper (@6r3nd4n), kas strādā ar Trend Micro Zero Day Initiative
Papildu atzinība
FontParser
Vēlamies izteikt atzinību Matthew Denton no Google Chrome par sniegto palīdzību.
Kernel
Vēlamies izteikt atzinību Siguza par sniegto palīdzību.
LinkPresentation
Vēlamies izteikt atzinību Travis par sniegto palīdzību.
Phone
Vēlamies izteikt atzinību Yiğit Can YILMAZ (@yilmazcanyigit) par sniegto palīdzību.
rapportd
Vēlamies izteikt atzinību Alexander Heinrich (@Sn0wfreeze) no Technische Universität Darmstadt par sniegto palīdzību.
WebKit
Vēlamies izteikt atzinību Samuel Groß no Google Project Zero komandas par sniegto palīdzību.
Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.