Over Apple beveiligingsupdates
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging.
watchOS 6.2
Releasedatum: 24 maart 2020
Accounts
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een proces in de sandbox kan de sandboxbeperkingen omzeilen
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-9772: Allison Husain van UC Berkeley
Toegevoegd op 21 mei 2020
ActionKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een app kan mogelijk gebruikmaken van een SSH-client die afkomstig is van private frameworks
Beschrijving: dit probleem is verholpen door middel van een nieuwe bevoegdheid.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een app kan mogelijk arbitraire bevoegdheden gebruiken
Beschrijving: dit probleem is verholpen door middel van verbeterde controles.
CVE-2020-3883: Linus Henze (pinauten.de)
CoreFoundation
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan de bevoegdheden verhogen
Beschrijving: er was een probleem met bevoegdheden. Dit probleem is verholpen door een verbeterde validatie van bevoegdheden.
CVE-2020-3913: Timo Christ van Avira Operations GmbH & Co. KG
Symbolen
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: door het instellen van een vervangend appsymbool kan een foto openbaar worden gemaakt zonder toestemming voor toegang tot foto's
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Beeldverwerking
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3919: Alex Plaskett van F-Secure Consulting
Bijgewerkt op 21 mei 2020
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een programma kan beperkt geheugen lezen
Beschrijving: een probleem met geheugeninitialisatie is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3914: pattern-f (@pattern_F_) van WaCai
Kernel
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterd statusbeheer.
CVE-2020-9785: Proteas van het Qihoo 360 Nirvan Team
libxml2
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: meerdere problemen in libxml2
Beschrijving: een bufferoverloop is verholpen door een verbeterde bereikcontrole.
CVE-2020-3909: LGTM.com
CVE-2020-3911: gevonden door OSS-Fuzz
libxml2
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: meerdere problemen in libxml2
Beschrijving: een bufferoverloop is verholpen door verbeterde groottevalidatie.
CVE-2020-3910: LGTM.com
Berichten
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een persoon met fysieke toegang tot een vergrendeld iOS-apparaat kan mogelijk reageren op berichten, zelfs als antwoorden zijn uitgeschakeld
Beschrijving: een logicaprobleem is verholpen door een verbeterd statusbeheer.
CVE-2020-3891: Peter Scott
Sandbox
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een lokale gebruiker kan vertrouwelijke gebruikersinformatie bekijken
Beschrijving: een toegangsprobleem is verholpen door aanvullende sandboxbeperkingen.
CVE-2020-3918: Augusto Alvarez van Outcourse Limited
Toegevoegd op 1 mei 2020
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: sommige websites werden mogelijk niet weergegeven in Safari-voorkeuren
Beschrijving: een logicaprobleem is verholpen door verbeterde beperkingen.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
Toegevoegd op 1 mei 2020
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een probleem met geheugengebruik is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3899: gevonden door OSS-Fuzz
Toegevoegd op 1 mei 2020
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao in samenwerking met ADLab van Venustech
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Beschikbaar voor: Apple Watch Series 1 en hoger
Impact: een externe aanvaller kan het uitvoeren van willekeurige code veroorzaken
Beschrijving: een type confusion-probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-2020-3897: Brendan Draper (@6r3nd4n) in samenwerking met het Zero Day Initiative van Trend Micro
Aanvullende erkenning
FontParser
Met dank aan Matthew Denton van Google Chrome voor de hulp.
Kernel
Met dank aan Siguza voor de hulp.
LinkPresentation
Met dank aan Travis voor de hulp.
Telefoon
Met dank aan Yiğit Can YILMAZ (@yilmazcanyigit) voor zijn hulp.
rapportd
Met dank aan Alexander Heinrich (@Sn0wfreeze) van Technische Universität Darmstadt voor de hulp.
WebKit
Met dank aan Samuel Groß van Google Project Zero voor de hulp.
Bijgewerkt op 4 april 2020