Par programmas watchOS 6 drošības saturu

Šajā dokumentā ir aprakstīts programmatūras watchOS 6 drošības saturs.

Par Apple drošības atjauninājumiem

Savu klientu aizsardzības vārdā Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir norādīti Apple drošības atjauninājumu lapā.

Kad vien iespējams, Apple drošības dokumentos, pieminot ievainojamības, tiek norādīts to CVE-ID.

Lai iegūtu papildinformāciju par drošību, skatiet Apple produktu drošības lapu.

watchOS 6

Audio

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot ļaunprātīgi izveidotu audio failu, var tikt izpildīts patvaļīgs kods

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot stāvokļu pārvaldību.

CVE-2019-8706: Jui Džou (Yu Zhou) no Ant-financial Light-Year Security Lab

Audio

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot ļaunprātīgi izveidotu audio failu, var tikt atklāta ierobežotas piekļuves atmiņa

Apraksts: tika novērsta lasīšana ārpus robežām, uzlabojot ievades validāciju.

CVE-2019-8850: anonīms pētnieks sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative

CFNetwork

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot ļaunprātīgi izveidotu tīmekļa saturu, var tikt veikts starpvietņu skriptēšanas uzbrukums

Apraksts: šī problēma tika atrisināta, uzlabojot pārbaudes.

CVE-2019-8753: Lukašs Piložs (Łukasz Pilorz) no bankas Standard Chartered filiāles Polijā

CoreAudio

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot ļaunprātīgi izveidotu filmu, var tikt atklāta procesu atmiņa

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot validāciju.

CVE-2019-8705: riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative

CoreCrypto

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot pārāk lielu ievades datu apjomu, var notikt pakalpojuma atteikums

Apraksts: problēma, ko izraisīja pakalpojumatteices uzbrukumi, tika atrisināta, uzlabojot ievades validāciju.

CVE-2019-8741: Nikijs Muha (Nicky Mouha) no ASV Nacionālā standartu un tehnoloģijas institūta

Foundation

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: uzbrucējs attāli var neparedzēti pārtraukt lietotnes darbību vai izpildīt patvaļīgu kodu

Apraksts: tika novērsta lasīšana ārpus robežām, uzlabojot ievades validāciju.

CVE-2019-8746: Natālija Silvanoviča (Natalie Silvanovich) un Semjuels Gross (Samuel Groß) no Google Project Zero

IOUSBDeviceFamily

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.

CVE-2019-8718: Džošua Hills (Joshua Hill) un Sems Foigtlenders (Sem Voigtländer)

Kernel

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta ievainojamība, uzlabojot validāciju.

CVE-2019-8740: Muhammeds Ganems (Mohamed Ghannam) (@_simo36)

Kernel

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lokāla lietotne var nolasīt pastāvīgu konta identifikatoru

Apraksts: validācijas problēma tika atrisināta, uzlabojot loģiku.

CVE-2019-8809: Apple

Kernel

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lietotne var izpildīt patvaļīgu kodu ar sistēmas atļaujām

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.

CVE-2019-8712: Muhammeds Ganems (Mohamed Ghannam) (@_simo36)

Kernel

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: ļaunprogrammatūra var noteikt kodola atmiņas izkārtojumu

Apraksts: IPv6 pakešu apstrādē bija ar atmiņas bojājumiem saistīta problēma. Šī problēma tika atrisināta, uzlabojot atmiņas pārvaldību.

CVE-2019-8744: Džuo Liena (Zhuo Liang) no Qihoo 360 Vulcan Team

Kernel

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot stāvokļu pārvaldību.

CVE-2019-8709: derrek (@derrekr6)

Kernel

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.

CVE-2019-8717: Jans Horns (Jann Horn) no Google Project Zero

libxml2

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: vairākas problēmas bibliotēkā libxml2

Apraksts: tika atrisinātas vairākas ar atmiņas bojājumiem saistītas problēmas, uzlabojot ievades validāciju.

CVE-2019-8749: atrada OSS-Fuzz

CVE-2019-8756: atrada OSS-Fuzz

mDNSResponder

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: uzbrucējs, kas fiziski atrodas tuvu, var pasīvi novērot ierīču nosaukumus, kas tiek izmantoti Apple Wireless Direct Link (AWDL) sakaros

Apraksts: šī problēma tika atrisināta, aizstājot ierīču nosaukumus ar nejaušiem identifikatoriem.

CVE-2019-8799: Dāvids Kreičmans (David Kreitschmann) un Milans Štūte (Milan Stute) no Darmštates Tehniskās universitātes pētniecības grupas Secure Mobile Networking Lab

UIFoundation

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot ļaunprātīgi izveidotu teksta failu, var tikt izpildīts patvaļīgs kods

Apraksts: tika atrisināta bufera pārpilde, uzlabojot robežu pārbaudi.

CVE-2019-8745: riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative

UIFoundation

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: lietotne var izpildīt patvaļīgu kodu ar sistēmas atļaujām

Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.

CVE-2019-8831: riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative

WebKit

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: apstrādājot ļaunprātīgi izveidotu tīmekļa saturu, var tikt izpildīts patvaļīgs kods

Apraksts: tika atrisinātas vairākas ar atmiņas bojājumiem saistītas problēmas, uzlabojot atmiņas apstrādi.

CVE-2019-8710: atrada OSS-Fuzz

CVE-2019-8728: Junho Jans (Junho Jang) no LINE drošības komandas un Haneuls Čoi (Hanul Choi) no ABLY Corporation

CVE-2019-8734: atrada OSS-Fuzz

CVE-2019-8751: Dundžuo Džao (Dongzhuo Zhao) sadarbībā ar uzņēmuma Venustech laboratoriju ADLab

CVE-2019-8752: Dundžuo Džao (Dongzhuo Zhao) sadarbībā ar uzņēmuma Venustech laboratoriju ADLab

CVE-2019-8773: atrada OSS-Fuzz

Wi-Fi

Pieejams: Apple Watch Series 3 un jaunākām versijām

Ietekme: ierīce var tikt pasīvi izsekota, izmantojot tās WiFi MAC adresi

Apraksts: tika atrisināta ar lietotāju konfidencialitāti saistīta problēma, noņemot apraides MAC adresi.

CVE-2019-8854: Taluņs Jans (Ta-Lun Yen) no UCCU Hacker, ASV Jūrniecības akadēmijas grupa FuriousMacTeam un organizācija The MITRE Corporation

Papildu pateicība

Audio

Pateicamies par palīdzību, ko sniedza riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative.

boringssl

Pateicamies Tisam Alkemadem (Thijs Alkemade, @xnyhps) no Computest par sniegto palīdzību.

HomeKit

Pateicamies Tjeņam Džanam (Tian Zhang) par sniegto palīdzību.

Kernel

Pateicamies Brendonam Ezedam (Brandon Azad) no Google Project Zero par sniegto palīdzību.

mDNSResponder

Pateicamies Gregoram Langam no e.solutions GmbH par sniegto palīdzību.

Profili

Pateicamies Erikam Džonsonam (Erik Johnson) no Vērnonhilsas vidusskolas un Džeimsam Sīlijam (James Seeley, @Code4iOS) no Shriver Job Corps par sniegto palīdzību.

Safari

Pateicamies Jigitam Džanam Jilmazam (Yiğit Can Yılmaz, @yilmazcanyigit) par sniegto palīdzību.

WebKit

Pateicamies par palīdzību, ko sniedza Dienvidkorejas Čhunnamas Nacionālās universitātes Informācijas drošības laboratorijas pētnieki Minčona Kima (MinJeong Kim) un Čečhols Njou (JaeCheol Ryou), kā arī cc sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative.