Over de beveiligingsinhoud van watchOS 5.2
In dit document wordt de beveiligingsinhoud van watchOS 5.2 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 5.2
Accounts
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd vcf-bestand kan leiden tot een denial of service
Beschrijving: een probleem met denial of service is verholpen door een verbeterde validatie.
CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)
CFString
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van een kwaadwillig vervaardigde tekenreeks kan leiden tot een denial of service
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2019-8516: SWIPS Team van Frifee Inc.
configd
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8552: Mohamed Ghannam (@_simo36)
Contacten
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8511: een anonieme onderzoeker
CoreCrypto
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2019-8542: een anonieme onderzoeker
file
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot de onthulling van gebruikersgegevens
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8906: Francisco Alonso
Foundation
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen met verbeterde invoervalidatie.
CVE-2019-7286: een anonieme onderzoeker, Clement Lecigne van Google Threat Analysis Group, Ian Beer van Google Project Zero en Samuel Groß van Google Project Zero
GeoServices
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: als op een kwaadaardige sms-koppeling wordt geklikt, kan dit leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterde validatie.
CVE-2019-8553: een anonieme onderzoeker
iAP
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2019-8542: een anonieme onderzoeker
IOHIDFamily
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een lokale gebruiker kan zorgen voor het onverwacht beëindigen van het systeem of het lezen van kernelgeheugen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8545: Adam Donenfeld (@doadam) van het Zimperium zLabs Team
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een externe aanvaller kan mogelijk netwerkverkeersgegevens wijzigen
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van IPv6-pakketten. Dit probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-5608: Apple
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een externe aanvaller kan geheugen vrijgeven
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-8547: derrek (@derrekr6)
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door verbeterd statusbeheer.
CVE-2019-8525: Zhuo Liang en shrek_wzw van het Qihoo 360 Nirvan Team
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een externe aanvaller kan het onverwacht beëindigen van het systeem of het beschadigen van het kernelgeheugen veroorzaken
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2019-8527: Ned Williamson van Google en derrek (@derrekr6)
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) van het Qihoo 360 Vulcan Team
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8540: Weibo Wang (@ma1fan) van het Qihoo 360 Nirvan Team
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan toegang krijgen tot verhoogde bevoegdheden
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8514: Samuel Groß van Google Project Zero
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem met het lezen buiten het bereik dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2019-6207: Weibo Wang van het Qihoo 360 Nirvan Team (@ma1fan)
CVE-2019-8510: Stefan Esser van Antid0te UG
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een lokale gebruiker kan het kernelgeheugen lezen
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-7293: Ned Williamson van Google
MediaLibrary
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan mogelijk toegang verkrijgen tot beperkte bestanden
Beschrijving: een probleem met bevoegdheden is verholpen door de kwetsbare code te verwijderen en extra controles toe te voegen.
CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng en Xiaolong Bai van Alibaba Inc.
Berichten
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2019-8546: ChiYuan Chang
Toegangscode
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een deels ingevoerde toegangscode wordt mogelijk niet gewist wanneer het apparaat in de sluimerstand gaat
Beschrijving: er was een probleem waarbij deels ingevoerde toegangscodes niet werden gewist wanneer het apparaat in de sluimerstand ging. Dit probleem is verholpen door de toegangscode te wissen wanneer een vergrendeld apparaat in de sluimerstand gaat.
CVE-2019-8548: Tobias Sachs
Energiebeheer
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er bestonden meerdere problemen met invoervalidatie in door MIG gegenereerde code. Deze problemen zijn verholpen via verbeterde validatie.
CVE-2019-8549: Mohamed Ghannam (@_simo36) van SSD Secure Disclosure (ssd-disclosure.com)
Privacy
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardige app kan gebruikers tussen installaties volgen
Beschrijving: er was een privacyprobleem bij de kalibratie van de bewegingssensor. Dit probleem is verholpen door de verwerking van de bewegingssensor te verbeteren.
CVE-2019-8541: Stan (Jiexin) Zhang en Alastair R. Beresford van de University of Cambridge, Ian Sheret van Polymath Insight Limited
Sandbox
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2019-8618: Brandon Azad
Beveiliging
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een niet-vertrouwd certificaat van een radius-server kan worden vertrouwd
Beschrijving: er bestond een validatieprobleem in Trust Anchor Management. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8531: een anonieme onderzoeker, QA-team van SecureW2
Siri
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan een dicteeraanvraag starten zonder autorisatie van de gebruiker
Beschrijving: er was een API-probleem bij de verwerking van dicteeraanvragen. Dit probleem is verholpen door een verbeterde validatie.
CVE-2019-8502: Luke Deshotels van North Carolina State University, Jordan Beichler van North Carolina State University, William Enck van North Carolina State University, Costin Carabaș van University POLITEHNICA in Boekarest en Răzvan Deaconescu van University POLITEHNICA in Boekarest
TrueTypeScaler
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde bereikcontrole.
CVE-2019-8517: riusksk van VulWar Corp in samenwerking met het Zero Day Initiative van Trend Micro
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8536: Apple
CVE-2019-8544: een anonieme onderzoeker
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8506: Samuel Groß van Google Project Zero
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8518: Samuel Groß van Google Project Zero
CVE-2019-8558: Samuel Groß van Google Project Zero
CVE-2019-8559: Apple
CVE-2019-8563: Apple
CVE-2019-8638: gevonden door OSS-Fuzz
CVE-2019-8639: gevonden door OSS-Fuzz
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een validatieprobleem is verholpen door verbeterde logica.
CVE-2019-7292: Zhunki en Zhiyi Zhang van 360 ESG Codesafe Team
Aanvullende erkenning
Accounts
Met dank aan Milan Stute van het Secure Mobile Networking Lab van de Technische Universität Darmstadt voor zijn hulp.
Kernel
Met dank aan Brandon Azad van Google Project Zero en Raz Mashat (@RazMashat) van Ilan Ramon High School voor hun hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.