Par watchOS 6.1.2 drošības saturu
Šajā dokumentā ir aprakstīts watchOS 6.1.2 drošības saturs.
Par Apple drošības atjauninājumiem
Klientu aizsardzības nolūkos Apple neizpauž, neapspriež un neapstiprina ar drošību saistītus jautājumus, kamēr nav pabeigta izmeklēšana un nav pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.
Apple drošības dokumentos ievainojamības atsauce ir CVE-ID (ja tas ir iespējams).
Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.
watchOS 6.1.2
AnnotationKit
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt neparedzētu lietotnes darbības pārtraukšanu vai patvaļīga koda izpildi
Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju
CVE-2020-3877: anonīms pētnieks, kas strādā ar Trend Micro Zero Day Initiative
Audio
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi
CVE-2020-3857: Zhuo Liang no Qihoo 360 Vulcan komandas
ImageIO
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidota attēla apstrāde, iespējams, var izraisīt patvaļīga koda izpildi
Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju
CVE-2020-3826: Samuel Groß no Google Project Zero komandas
CVE-2020-3870
CVE-2020-3878: Samuel Groß no Google Project Zero komandas
CVE-2020-3880: Samuel Groß no Google Project Zero komandas
IOAcceleratorFamily
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi
CVE-2020-3837: Brandon Azad no Google Project Zero komandas
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu
Apraksts: validācijas problēma novērsta, uzlabojot ievades desentivizēšanu
CVE-2020-3875: Brandon Azad no Google Project Zero komandas
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga lietotne, iespējams, var noteikt kodola atmiņas izkārtojumu
Apraksts: piekļuves problēma novērsta, uzlabojot atmiņas pārvaldību
CVE-2020-3836: Brandon Azad no Google Project Zero komandas
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu
Apraksts: atmiņas inicializācijas problēma novērsta, uzlabojot atmiņas apstrādi
CVE-2020-3872: Haakon Garseg Mørk no Cognite un Cim Stordal no Cognite
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi
CVE-2020-3842: Ned Williamson, kas strādā ar Google Project Zero komandu
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot stāvokļu pārvaldību
CVE-2020-3834: Xiaolong Bai un Min (Spark) Zheng no Alibaba Inc, Luyi Xing no Indiana University Bloomington
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot ievades validāciju
CVE-2020-3860: Proteas no Qihoo 360 Nirvan komandas
Kernel
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: veidu neskaidrības problēma novērsta, uzlabojot atmiņas apstrādi
CVE-2020-3853: Brandon Azad no Google Project Zero komandas
libxml2
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidota XML apstrāde, iespējams, var izraisīt neparedzētu lietotnes darbības pārtraukšanu vai patvaļīga koda izpildi
Apraksts: bufera pārpildes problēma novērsta, uzlabojot lieluma validāciju
CVE-2020-3846: Ranier Vilela
libxpc
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: ļaunprātīgi izveidotas virknes apstrāde, iespējams, var izraisīt datu kaudzes bojājumu
Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot ievades validāciju
CVE-2020-3856: Ian Beer no Google Project Zero komandas
libxpc
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas
Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot robežu pārbaudi
CVE-2020-3829: Ian Beer no Google Project Zero komandas
wifivelocityd
Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem
Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām
Apraksts: problēma novērsta, uzlabojot atļauju loģiku
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Papildu atzinība
IOSurface
Vēlamies izteikt atzinību Liang Chen (@chenliang0817) par sniegto palīdzību.
Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.