Par Apple drošības atjauninājumiem
Lai aizsargātu savus klientus, Apple neizpauž, neapspriež un neapstiprina drošības problēmas, līdz ir veikta izmeklēšana un ir pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.
Apple drošības dokumentos ievainojamības ir norādītas ar CVE-ID, ja tas ir iespējams.
Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.
watchOS 6.1.1
Izlaista 2019. gada 10. decembrī
CallKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: zvani, kas veikti, izmantojot Siri, var tikt iniciēti, izmantojot nepareizu mobilo datu plānu ierīcēs ar diviem aktīviem plāniem.
Apraksts: konstatēta API problēma, apstrādājot izejošos tālruņa zvanus, kas iniciēti ar Siri. Problēma novērsta, uzlabojot stāvokļu apstrādi.
CVE-2019-8856: Fabrice TERRANCLE no TERRANCLE SARL
CFNetwork
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: uzbrucējs privileģētā tīkla pozīcijā, iespējams, var apiet HSTS ierobežotam skaitam konkrētu augšējā līmeņa domēnu, kas agrāk nebija iekļauti HSTS iepriekšējās ielādes sarakstā.
Apraksts: konfigurācijas problēma novērsta, ieviešot papildu ierobežojumus.
CVE-2019-8834: Rob Sayre (@sayrer)
Ieraksts pievienots 2020. gada 3. februārī
CFNetwork starpniekserveri
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas
Apraksts: problēma tika novērsta, uzlabojot pārbaudes.
CVE-2019-8848: Zhuo Liang no Qihoo 360 Vulcan komandas
FaceTime
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga videoklipa apstrāde, izmantojot FaceTime, var izraisīt patvaļīga koda izpildi.
Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju.
CVE-2019-8830: natashenka no Google Project Zero komandas
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma novērsta, noņemot neaizsargāto kodu.
CVE-2019-8833: Ian Beer no Google Project Zero komandas
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2019-8828: Cim Stordal no Cognite
CVE-2019-8838: Dr. Silvio Cesare no InfoSect
libexpat
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidota XML faila parsēšana var izraisīt lietotāja informācijas atklāšanu.
Apraksts: problēma novērsta, atjauninot expat versiju 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: vairākas libpcap problēmas.
Apraksts: vairākas problēmas novērstas, atjauninot libpcap versiju 1.9.1.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Ieraksts pievienots 2020. gada 4. aprīlī
Drošība
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2019-8832: Insu Yun no Georgia Tech SSLab
WebKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidota tīmekļa satura apstrāde var izraisīt patvaļīga koda izpildi
Apraksts: vairāku atmiņas bojājumu problēma tika novērsta, uzlabojot atmiņas apstrādi.
CVE-2019-8844: William Bowling (@wcbowling)
Papildu atzinība
Konti
Vēlamies izteikt atzinību Allison Husain noUC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling no Loughborough University par sniegto palīdzību.
Ieraksts atjaunināts 2020. gada 4. aprīlī
Core Data
Vēlamies izteikt atzinību natashenka no Google Project Zero komandas par sniegto palīdzību.