Over de beveiligingsinhoud van watchOS 6.1

In dit document wordt de beveiligingsinhoud van watchOS 6.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 6.1

Accounts

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2019-8787: Steffen Klee van het Secure Mobile Networking Lab van Technische Universität Darmstadt

AirDrop

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: AirDrop-overdrachten kunnen onverwachts worden geaccepteerd in de modus Iedereen

Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.

CVE-2019-8796: Allison Husain van UC Berkeley

App Store

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een lokale aanvaller kan mogelijk zonder geldige inloggegevens inloggen op de account van een eerder ingelogde gebruiker.

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Audio

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8785: Ian Beer van Google Project Zero

CVE-2019-8797: 08Tc3wBB in samenwerking met SSD Secure Disclosure

Contacten

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: het verwerken van een kwaadwillig vervaardigd contact kan leiden tot UI-spoofing

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2017-7152: Oliver Paukstadt van Thinking Objects GmbH (to.com)

Bestandssysteemgebeurtenissen

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8798: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2019-8794: 08Tc3wBB in samenwerking met SSD Secure Disclosure

Kernel

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8786: Wen Xu van Georgia Tech, Microsoft Offensive Security Research Intern

Kernel

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2019-8829: Jann Horn van Google Project Zero

libxslt

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: meerdere problemen in libxslt

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2019-8750: gevonden door OSS-Fuzz

VoiceOver

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot contacten vanaf het toegangsscherm

Het probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2019-8775: videosdebarraquito

WebKit

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2019-8764: Sergei Glazunov van Google Project Zero

WebKit

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8743: zhunki van het Codesafe Team van Legendsec van de Qi'anxin Group

CVE-2019-8765: Samuel Groß van Google Project Zero

CVE-2019-8766: gevonden door OSS-Fuzz

CVE-2019-8808: gevonden door OSS-Fuzz

CVE-2019-8811: Soyeon Park van het SSLab van Georgia Tech

CVE-2019-8812: JunDong Xie van het Ant-financial Light-Year Security Lab

CVE-2019-8816: Soyeon Park van het SSLab van Georgia Tech

CVE-2019-8820: Samuel Groß van Google Project Zero

Aanvullende erkenning

boringssl

Met dank aan Nimrod Aviram van Tel Aviv University, Robert Merget van Ruhr University Bochum en Juraj Somorovsky van Ruhr University Bochum voor hun hulp.

CFNetwork

Met dank aan Lily Chen van Google voor de hulp.

Kernel

Met dank aan Daniel Roethlisberger van Swisscom CSIRT, Jann Horn van Google Project Zero voor hun hulp.

Safari

Met dank aan Ron Summers en Ronald van der Meer voor de hulp.

WebKit

Met dank aan Zhiyi Zhang van het Codesafe Team van Legendsec van de Qi'anxin Group voor de hulp.