Over de beveiligingsinhoud van watchOS 6.1

In dit document wordt de beveiligingsinhoud van watchOS 6.1 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.

watchOS 6.1

Releasedatum: 29 oktober 2019

Accounts

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een externe aanvaller kan geheugen vrijgeven

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2019-8787: Steffen Klee van het Secure Mobile Networking Lab van Technische Universität Darmstadt

App Store

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een lokale aanvaller kan mogelijk zonder geldige inloggegevens inloggen op de account van een eerder ingelogde gebruiker.

Beschrijving: een probleem met identiteitscontrole is verholpen door verbeterd statusbeheer.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Audio

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8785: Ian Beer van Google Project Zero

CVE-2019-8797: 08Tc3wBB in samenwerking met SSD Secure Disclosure

Contacten

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: het verwerken van een kwaadwillig vervaardigd contact kan leiden tot UI-spoofing

Beschrijving: een probleem met een inconsistente gebruikersinterface is verholpen met verbeterd statusbeheer.

CVE-2017-7152: Oliver Paukstadt van Thinking Objects GmbH (to.com)

Bestandssysteemgebeurtenissen

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8798: ABC Research s.r.o. in samenwerking met het Zero Day Initiative van Trend Micro

Kernel

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan beperkt geheugen lezen

Beschrijving: een validatieprobleem is verholpen door verbeterde invoeropschoning.

CVE-2019-8794: 08Tc3wBB in samenwerking met SSD Secure Disclosure

Kernel

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8786: een anonieme onderzoeker

Kernel

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een kwetsbaarheid voor geheugenbeschadiging is verholpen door verbeterde vergrendeling.

CVE-2019-8829: Jann Horn van Google Project Zero

Toegevoegd op 8 november 2019

libxslt

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: meerdere problemen in libxslt

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door verbeterde invoervalidatie.

CVE-2019-8750: gevonden door OSS-Fuzz

VoiceOver

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: een persoon met fysieke toegang tot een iOS-apparaat heeft mogelijk toegang tot contacten vanaf het toegangsscherm

Het probleem is verholpen door de aangeboden opties op een vergrendeld apparaat te beperken.

CVE-2019-8775: videosdebarraquito

WebKit

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot universele cross-site-scripting

Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.

CVE-2019-8764: Sergei Glazunov van Google Project Zero

WebKit

Beschikbaar voor: Apple Watch Series 1 en hoger

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2019-8743: zhunki van het Codesafe Team van Legendsec van de Qi'anxin Group

CVE-2019-8765: Samuel Groß van Google Project Zero

CVE-2019-8766: gevonden door OSS-Fuzz

CVE-2019-8808: gevonden door OSS-Fuzz

CVE-2019-8811: Soyeon Park van het SSLab van Georgia Tech

CVE-2019-8812: een anonieme onderzoeker

CVE-2019-8816: Soyeon Park van het SSLab van Georgia Tech

CVE-2019-8820: Samuel Groß van Google Project Zero

Aanvullende erkenning

boringssl

Met dank aan Nimrod Aviram van Tel Aviv University, Robert Merget van Ruhr University Bochum en Juraj Somorovsky van Ruhr University Bochum voor hun hulp.

CFNetwork

Met dank aan Lily Chen van Google voor haar hulp.

Kernel

Met dank aan Daniel Roethlisberger van Swisscom CSIRT, Jann Horn van Google Project Zero voor hun hulp.

Bijgewerkt op vrijdag 8 november 2019

Safari

Met dank aan Ron Summers voor zijn hulp.

WebKit

Met dank aan Zhiyi Zhang van het Codesafe Team van Legendsec van de Qi'anxin Group voor de hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: