Par programmatūras watchOS 6.1 drošības saturu
Šajā dokumentā ir aprakstīts programmatūras watchOS 6.1 drošības saturs.
Par Apple drošības atjauninājumiem
Klientu aizsardzības nolūkā Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti lapā Apple drošības atjauninājumi.
Apple drošības dokumentos ievainojamības tiek minētas ar CVE-ID, ja tas ir iespējams.
Plašāku informāciju par drošību skatiet lapā Apple produktu drošība.
watchOS 6.1
Accounts
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: attāls uzbrucējs var veikt atmiņas noplūdi.
Apraksts: ārpusrobežu lasījuma problēma tika novērsta ar uzlabotas ievades validācijas palīdzību.
CVE-2019-8787: Stefans Klē (Steffen Klee), Darmštates Tehniskās universitātes (Technische Universität Darmstadt) Drošas mobilās tīklošanas laboratorija (Secure Mobile Networking)
AirDrop
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: AirDrop datu pārsūtīšana var būt neparedzēti akceptēta režīmā Everyone (Visi).
Apraksts: loģikas problēma tika novērsta ar uzlabotas validācijas palīdzību.
CVE-2019-8796: Elisone Huseina (Allison Husain), Kalifornijas Universitāte, Bērkli
App Store
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: vietējs uzbrucējs var bez derīgiem akreditācijas datiem pieteikties tā lietotāja kontā, kurš iepriekš bija pieteicies.
Apraksts: autentifikācijas problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.
CVE-2019-8803: Kijeons Ans (Kiyeon An), Čha Minkju (Cha Min-Kyu (차민규))
AppleFirmwareUpdateKext
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar kodola atļaujām.
Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas bloķēšanas palīdzību.
CVE-2019-8747: Mohameds Hanams (Mohamed Ghannam) (@_simo36)
Audio
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar sistēmas atļaujām.
Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.
CVE-2019-8785: Īans Bīrs (Ian Beer), Google Project Zero
CVE-2019-8797: 08Tc3wBB sadarbībā ar SSD Secure Disclosure
Contacts
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: neaizsargātas kontaktpersonas apstrāde var izraisīt lietotāja saskarnes viltošanu.
Apraksts: ar nekonsekventu lietotāja saskarni saistīta problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.
CVE-2017-7152: Olivers Paukštats (Oliver Paukstadt), Thinking Objects GmbH (to.com)
Failu sistēmas notikumi
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar sistēmas atļaujām.
Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.
CVE-2019-8798: ABC Research s.r.o. sadarbībā ar Trend Micro's Zero Day Initiative
Kernel
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: lietojumprogramma var lasīt datus ierobežotās piekļuves atmiņā.
Apraksts: validācijas problēma tika novērsta ar uzlabotas ievades tīrīšanas palīdzību.
CVE-2019-8794: 08Tc3wBB sadarbībā ar SSD Secure Disclosure
Kernel
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar kodola atļaujām.
Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas atmiņas apstrādes palīdzību.
CVE-2019-8786: Veņs Sjui (Wen Xu), Džordžijas Tehnoloģiju institūta (Georgia Institute of Technology) Microsoft aizvainojoša satura drošības izpētes darba grupas interns
Kernel
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: lietojumprogramma var izpildīt patvaļīgu kodu ar kodola atļaujām.
Apraksts: ar bojātu atmiņu saistīta problēma tika novērsta ar uzlabotas bloķēšanas palīdzību.
CVE-2019-8829: Jans Horns (Jann Horn), Google Project Zero
libxslt
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: vairākas problēmas ar libxslt
Apraksts: vairākas ar bojātu atmiņu saistītas problēmas tika novērstas ar uzlabotas ievades validācijas palīdzību.
CVE-2019-8750: ziņoja OSS-Fuzz
VoiceOver
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: persona, kas var fiziski piekļūt iOS ierīcei, var piekļūt kontaktpersonām no bloķēšanas ekrāna.
Apraksts: šī problēma tika novērsta, ierobežojot opcijas, kas tiek piedāvātas bloķētā ierīcē.
CVE-2019-8775: videosdebarraquito
WebKit
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: neaizsargātā veidā izstrādāta tīmekļa satura apstrāde var izraisīt universālu starpvietņu skriptēšanu.
Apraksts: loģikas problēma tika novērsta ar uzlabotas stāvokļa pārvaldības palīdzību.
CVE-2019-8764: Sergejs Glazunovs (Sergei Glazunov), Google Project Zero
WebKit
Pieejamība: Apple Watch Series 1 un jaunāki modeļi
Iedarbība: neaizsargātā veidā izstrādāta tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi.
Apraksts: vairākas ar bojātu atmiņu saistītas problēmas tika novērstas ar uzlabotas atmiņas apstrādes palīdzību.
CVE-2019-8743: zhunki, Legendsec kodu drošības darba grupa, Qi'anxin Group
CVE-2019-8765: Semjuels Gross (Samuel Groß), Google Project Zero
CVE-2019-8766: ziņoja OSS-Fuzz
CVE-2019-8808: ziņoja OSS-Fuzz
CVE-2019-8811: Sojuna Pārka (Soyeon Park), Džordžijas Tehnoloģiju institūta (Georgia Institute of Technology) Sistēmu programmatūras un drošības laboratorija (SSLab)
CVE-2019-8812: Dzjuņduns Sje (JunDong Xie), Ant-financial Light-Year Security Lab
CVE-2019-8816: Sojuna Pārka (Soyeon Park), Džordžijas Tehnoloģiju institūta (Georgia Institute of Technology) Sistēmu programmatūras un drošības laboratorija (SSLab)
CVE-2019-8820: Semjuels Gross (Samuel Groß), Google Project Zero
Papildu atzinība
boringssl
Vēlamies izteikt pateicību par palīdzību Nimrodam Aviramam (Nimrod Aviram) no Telavivas Universitātes, Robertam Mergetam (Robert Merget) no Rūras Bohumas Universitātes un Jurajam Somorovskim (Juraj Somorovsky) no Rūras Bohumas Universitātes.
CFNetwork
Vēlamies izteikt pateicību par palīdzību Lilijai Čeņai (Lily Chen) no Google.
Kernel
Vēlamies izteikt pateicību par palīdzību Dānielam Retlisbergeram (Daniel Roethlisberger) no Swisscom CSIRT un Janam Hornam (Jann Horn) no Google Project Zero.
Safari
Vēlamies izteikt pateicību par palīdzību Ronam Samersam (Ron Summers) un Ronaldam Vandermēram (Ronald van der Meer).
WebKit
Vēlamies izteikt pateicību par palīdzību Džii Džanam (Zhiyi Zhang) no Legendsec kodu drošības darba grupas, Qi'anxin Group.
Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.