Par watchOS 6.1.2 drošības saturu

Šajā dokumentā ir aprakstīts watchOS 6.1.2 drošības saturs.

Par Apple drošības atjauninājumiem

Klientu aizsardzības nolūkos Apple neizpauž, neapspriež un neapstiprina ar drošību saistītus jautājumus, kamēr nav pabeigta izmeklēšana un nav pieejami drošības ielāpi vai laidieni. Jaunākie laidieni ir uzskaitīti Apple drošības atjauninājumu lapā.

Apple drošības dokumentos ievainojamības atsauce ir CVE-ID (ja tas ir iespējams).

Lai iegūtu plašāku informāciju par drošību, skatiet Apple produktu drošības lapu.

watchOS 6.1.2

Izlaista 2020. gada 28. janvārī

AnnotationKit

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: uzbrucējs no attāluma, iespējams, var izraisīt neparedzētu lietotnes darbības pārtraukšanu vai patvaļīga koda izpildi

Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju

CVE-2020-3877: anonīms pētnieks, kas strādā ar Trend Micro Zero Day Initiative

Audio

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi

CVE-2020-3857: Zhuo Liang no Qihoo 360 Vulcan komandas

ImageIO

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidota attēla apstrāde, iespējams, var izraisīt patvaļīga koda izpildi

Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot ievades validāciju

CVE-2020-3826: Samuel Groß no Google Project Zero komandas

CVE-2020-3870

CVE-2020-3878: Samuel Groß no Google Project Zero komandas

CVE-2020-3880: Samuel Groß no Google Project Zero komandas

Ieraksts atjaunināts 2020. gada 4. aprīlī

IOAcceleratorFamily

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi

CVE-2020-3837: Brandon Azad no Google Project Zero komandas

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu

Apraksts: validācijas problēma novērsta, uzlabojot ievades desentivizēšanu

CVE-2020-3875: Brandon Azad no Google Project Zero komandas

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga lietotne, iespējams, var noteikt kodola atmiņas izkārtojumu

Apraksts: piekļuves problēma novērsta, uzlabojot atmiņas pārvaldību

CVE-2020-3836: Brandon Azad no Google Project Zero komandas

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var nolasīt ierobežotu atmiņu

Apraksts: atmiņas inicializācijas problēma novērsta, uzlabojot atmiņas apstrādi

CVE-2020-3872: Haakon Garseg Mørk no Cognite un Cim Stordal no Cognite

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot atmiņas apstrādi

CVE-2020-3842: Ned Williamson, kas strādā ar Google Project Zero komandu

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot stāvokļu pārvaldību

CVE-2020-3834: Xiaolong Bai un Min (Spark) Zheng no Alibaba Inc, Luyi Xing no Indiana University Bloomington

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar kodola privilēģijām

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot ievades validāciju

CVE-2020-3860: Proteas no Qihoo 360 Nirvan komandas

Kernel

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīga lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: veidu neskaidrības problēma novērsta, uzlabojot atmiņas apstrādi

CVE-2020-3853: Brandon Azad no Google Project Zero komandas

libxml2

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidota XML apstrāde, iespējams, var izraisīt neparedzētu lietotnes darbības pārtraukšanu vai patvaļīga koda izpildi

Apraksts: bufera pārpildes problēma novērsta, uzlabojot lieluma validāciju

CVE-2020-3846: Ranier Vilela

Ieraksts pievienots 2020. gada 29. janvārī

libxpc

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: ļaunprātīgi izveidotas virknes apstrāde, iespējams, var izraisīt datu kaudzes bojājumu

Apraksts: atmiņas bojājumu problēma novērsta, uzlabojot ievades validāciju

CVE-2020-3856: Ian Beer no Google Project Zero komandas

libxpc

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var iegūt paaugstinātas privilēģijas

Apraksts: ārpus robežām esoša satura lasīšanas problēma novērsta, uzlabojot robežu pārbaudi

CVE-2020-3829: Ian Beer no Google Project Zero komandas

wifivelocityd

Pieejamība: Apple Watch Series 1 un jaunākiem modeļiem

Ietekme: lietotne, iespējams, var izpildīt patvaļīgu kodu ar sistēmas privilēģijām

Apraksts: problēma novērsta, uzlabojot atļauju loģiku

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Papildu atzinība

IOSurface

Vēlamies izteikt atzinību Liang Chen (@chenliang0817) par sniegto palīdzību.

Informācija par produktiem, kuru ražotājs nav uzņēmums Apple, vai neatkarīgām tīmekļa vietnēm, kuras uzņēmums Apple nekontrolē un nav testējis, ir sniegta bez ieteikumiem un apstiprinājuma. Apple neuzņemas nekādu atbildību par trešo pušu tīmekļa vietņu vai produktu izvēli, darbību vai izmantošanu. Apple nepauž nekādu viedokli attiecībā uz trešo pušu tīmekļa vietņu precizitāti vai uzticamību. Sazinieties ar nodrošinātāju, lai saņemtu papildinformāciju.

Publicēšanas datums: