Par Apple drošības atjauninājumiem
Savu klientu aizsardzības vārdā Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir norādīti Apple drošības atjauninājumu lapā.
Kad vien iespējams, Apple drošības dokumentos, pieminot ievainojamības, tiek norādīts to CVE-ID.
Lai iegūtu papildinformāciju par drošību, skatiet Apple produktu drošības lapu.
watchOS 6
Izlaista 2019. gada 19. septembrī
Audio
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot ļaunprātīgi izveidotu audio failu, var tikt izpildīts patvaļīgs kods
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot stāvokļu pārvaldību.
CVE-2019-8706: Jui Džou (Yu Zhou) no Ant-financial Light-Year Security Lab
Ieraksts pievienots 2019. gada 29. oktobrī
Audio
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot ļaunprātīgi izveidotu audio failu, var tikt atklāta ierobežotas piekļuves atmiņa
Apraksts: tika novērsta lasīšana ārpus robežām, uzlabojot ievades validāciju.
CVE-2019-8850: anonīms pētnieks sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative
Ieraksts pievienots 2019. gada 4. decembrī
CFNetwork
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot ļaunprātīgi izveidotu tīmekļa saturu, var tikt veikts starpvietņu skriptēšanas uzbrukums
Apraksts: šī problēma tika atrisināta, uzlabojot pārbaudes.
CVE-2019-8753: Lukašs Piložs (Łukasz Pilorz) no bankas Standard Chartered filiāles Polijā
Ieraksts pievienots 2019. gada 29. oktobrī
CoreAudio
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot ļaunprātīgi izveidotu filmu, var tikt atklāta procesu atmiņa
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot validāciju.
CVE-2019-8705: riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative
Ieraksts pievienots 2019. gada 8. oktobrī
CoreCrypto
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot pārāk lielu ievades datu apjomu, var notikt pakalpojuma atteikums
Apraksts: problēma, ko izraisīja pakalpojumatteices uzbrukumi, tika atrisināta, uzlabojot ievades validāciju.
CVE-2019-8741: Nikijs Muha (Nicky Mouha) no ASV Nacionālā standartu un tehnoloģijas institūta
Ieraksts pievienots 2019. gada 29. oktobrī
Foundation
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: uzbrucējs attāli var neparedzēti pārtraukt lietotnes darbību vai izpildīt patvaļīgu kodu
Apraksts: tika novērsta lasīšana ārpus robežām, uzlabojot ievades validāciju.
CVE-2019-8746: Natālija Silvanoviča (Natalie Silvanovich) un Semjuels Gross (Samuel Groß) no Google Project Zero
Ieraksts pievienots 2019. gada 29. oktobrī un atjaunināts 2020. gada 11. februārī
IOUSBDeviceFamily
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.
CVE-2019-8718: Džošua Hills (Joshua Hill) un Sems Foigtlenders (Sem Voigtländer)
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta ievainojamība, uzlabojot validāciju.
CVE-2019-8740: Muhammeds Ganems (Mohamed Ghannam) (@_simo36)
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lokāla lietotne var nolasīt pastāvīgu konta identifikatoru
Apraksts: validācijas problēma tika atrisināta, uzlabojot loģiku.
CVE-2019-8809: Apple
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lietotne var izpildīt patvaļīgu kodu ar sistēmas atļaujām
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.
CVE-2019-8712: Muhammeds Ganems (Mohamed Ghannam) (@_simo36)
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: ļaunprogrammatūra var noteikt kodola atmiņas izkārtojumu
Apraksts: IPv6 pakešu apstrādē bija ar atmiņas bojājumiem saistīta problēma. Šī problēma tika atrisināta, uzlabojot atmiņas pārvaldību.
CVE-2019-8744: Džuo Liena (Zhuo Liang) no Qihoo 360 Vulcan Team
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot stāvokļu pārvaldību.
CVE-2019-8709: derrek (@derrekr6)
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lietotne var izpildīt patvaļīgu kodu ar kodola atļaujām
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.
CVE-2019-8717: Jans Horns (Jann Horn) no Google Project Zero
Ieraksts pievienots 2019. gada 8. oktobrī
libxml2
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: vairākas problēmas bibliotēkā libxml2
Apraksts: tika atrisinātas vairākas ar atmiņas bojājumiem saistītas problēmas, uzlabojot ievades validāciju.
CVE-2019-8749: atrada OSS-Fuzz
CVE-2019-8756: atrada OSS-Fuzz
Ieraksts pievienots 2019. gada 8. oktobrī
mDNSResponder
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: uzbrucējs, kas fiziski atrodas tuvu, var pasīvi novērot ierīču nosaukumus, kas tiek izmantoti Apple Wireless Direct Link (AWDL) sakaros
Apraksts: šī problēma tika atrisināta, aizstājot ierīču nosaukumus ar nejaušiem identifikatoriem.
CVE-2019-8799: Dāvids Kreičmans (David Kreitschmann) un Milans Štūte (Milan Stute) no Darmštates Tehniskās universitātes pētniecības grupas Secure Mobile Networking Lab
Ieraksts pievienots 2019. gada 29. oktobrī
UIFoundation
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot ļaunprātīgi izveidotu teksta failu, var tikt izpildīts patvaļīgs kods
Apraksts: tika atrisināta bufera pārpilde, uzlabojot robežu pārbaudi.
CVE-2019-8745: riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative
Ieraksts pievienots 2019. gada 8. oktobrī
UIFoundation
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: lietotne var izpildīt patvaļīgu kodu ar sistēmas atļaujām
Apraksts: tika atrisināta ar atmiņas bojājumiem saistīta problēma, uzlabojot atmiņas apstrādi.
CVE-2019-8831: riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative
Ieraksts pievienots 2019. gada 18. novembrī
WebKit
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: apstrādājot ļaunprātīgi izveidotu tīmekļa saturu, var tikt izpildīts patvaļīgs kods
Apraksts: tika atrisinātas vairākas ar atmiņas bojājumiem saistītas problēmas, uzlabojot atmiņas apstrādi.
CVE-2019-8710: atrada OSS-Fuzz
CVE-2019-8728: Junho Jans (Junho Jang) no LINE drošības komandas un Haneuls Čoi (Hanul Choi) no ABLY Corporation
CVE-2019-8734: atrada OSS-Fuzz
CVE-2019-8751: Dundžuo Džao (Dongzhuo Zhao) sadarbībā ar uzņēmuma Venustech laboratoriju ADLab
CVE-2019-8752: Dundžuo Džao (Dongzhuo Zhao) sadarbībā ar uzņēmuma Venustech laboratoriju ADLab
CVE-2019-8773: atrada OSS-Fuzz
Ieraksts pievienots 2019. gada 29. oktobrī
Wi-Fi
Pieejams: Apple Watch Series 3 un jaunākām versijām
Ietekme: ierīce var tikt pasīvi izsekota, izmantojot tās WiFi MAC adresi
Apraksts: tika atrisināta ar lietotāju konfidencialitāti saistīta problēma, noņemot apraides MAC adresi.
CVE-2019-8854: Taluņs Jans (Ta-Lun Yen) no UCCU Hacker, ASV Jūrniecības akadēmijas grupa FuriousMacTeam un organizācija The MITRE Corporation
Ieraksts pievienots 2019. gada 4. decembrī
Papildu pateicība
Audio
Pateicamies par palīdzību, ko sniedza riusksk no VulWar Corp sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative.
Ieraksts pievienots 2019. gada 29. oktobrī
boringssl
Pateicamies Tisam Alkemadem (Thijs Alkemade, @xnyhps) no Computest par sniegto palīdzību.
Ieraksts pievienots 2019. gada 8. oktobrī
HomeKit
Pateicamies Tjeņam Džanam (Tian Zhang) par sniegto palīdzību.
Ieraksts pievienots 2019. gada 29. oktobrī
Kernel
Pateicamies Brendonam Ezedam (Brandon Azad) no Google Project Zero par sniegto palīdzību.
Ieraksts pievienots 2019. gada 29. oktobrī
mDNSResponder
Pateicamies Gregoram Langam no e.solutions GmbH par sniegto palīdzību.
Ieraksts pievienots 2019. gada 29. oktobrī
Profili
Pateicamies Erikam Džonsonam (Erik Johnson) no Vērnonhilsas vidusskolas un Džeimsam Sīlijam (James Seeley, @Code4iOS) no Shriver Job Corps par sniegto palīdzību.
Ieraksts pievienots 2019. gada 29. oktobrī
Safari
Pateicamies Jigitam Džanam Jilmazam (Yiğit Can Yılmaz, @yilmazcanyigit) par sniegto palīdzību.
Ieraksts pievienots 2019. gada 29. oktobrī un atjaunināts 2020. gada 4. aprīlī
WebKit
Pateicamies par palīdzību, ko sniedza Dienvidkorejas Čhunnamas Nacionālās universitātes Informācijas drošības laboratorijas pētnieki Minčona Kima (MinJeong Kim) un Čečhols Njou (JaeCheol Ryou), kā arī cc sadarbībā ar uzņēmuma Trend Micro programmu Zero Day Initiative.
Ieraksts pievienots 2019. gada 29. oktobrī