Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 6.1
Releasedatum: 29 oktober 2019
Accounts
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een externe aanvaller kan geheugen vrijgeven
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2019-8787: Steffen Klee van het Secure Mobile Networking Lab van Technische Universität Darmstadt
AirDrop
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: AirDrop-overdrachten kunnen onverwachts worden geaccepteerd in de modus Iedereen
Beschrijving: een logicaprobleem is verholpen door verbeterde validatie.
CVE-2019-8796: Allison Husain van UC Berkeley
Bijgewerkt op 4 april 2020
App Store
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een lokale aanvaller kan mogelijk zonder geldige inloggegevens inloggen op de account van een eerder ingelogde gebruiker.
Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Audio
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8785: Ian Beer van Google Project Zero
CVE-2019-8797: 08Tc3wBB in samenwerking met SSD Secure Disclosure
Contacten
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van een kwaadwillig vervaardigd contact kan leiden tot UI-spoofing
Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.
CVE-2017-7152: Oliver Paukstadt van Thinking Objects GmbH (to.com)
Bestandssysteemgebeurtenissen
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8798: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.
CVE-2019-8794: 08Tc3wBB in samenwerking met SSD Secure Disclosure
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8786: Wen Xu van Georgia Tech, Microsoft Offensive Security Research Intern
Bijgewerkt op 18 november 2019
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.
CVE-2019-8829: Jann Horn van Google Project Zero
Toegevoegd op 8 november 2019
libxslt
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: meerdere problemen in libxslt
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.
CVE-2019-8750: gevonden door OSS-Fuzz
VoiceOver
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot contacten vanaf het toegangsscherm
Het probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.
CVE-2019-8775: videosdebarraquito
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2019-8764: Sergei Glazunov van Google Project Zero
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2019-8743: zhunki van het Codesafe Team van Legendsec van de Qi'anxin Group
CVE-2019-8765: Samuel Groß van Google Project Zero
CVE-2019-8766: gevonden door OSS-Fuzz
CVE-2019-8808: gevonden door OSS-Fuzz
CVE-2019-8811: Soyeon Park van het SSLab van Georgia Tech
CVE-2019-8812: JunDong Xie van het Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park van het SSLab van Georgia Tech
CVE-2019-8820: Samuel Groß van Google Project Zero
Bijgewerkt op 18 november 2019
Aanvullende erkenning
boringssl
Met dank aan Nimrod Aviram van Tel Aviv University, Robert Merget van Ruhr University Bochum en Juraj Somorovsky van Ruhr University Bochum voor hun hulp.
CFNetwork
Met dank aan Lily Chen van Google voor de hulp.
Kernel
Met dank aan Daniel Roethlisberger van Swisscom CSIRT, Jann Horn van Google Project Zero voor hun hulp.
Bijgewerkt op 8 november 2019
Safari
Met dank aan Ron Summers en Ronald van der Meer voor de hulp.
Bijgewerkt op 11 februari 2020
WebKit
Met dank aan Zhiyi Zhang van het Codesafe Team van Legendsec van de Qi'anxin Group voor de hulp.