Om sikkerhetsinnholdet i watchOS 5.3

I dette dokumentet beskrives sikkerhetsinnholdet i watchOS 5.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

watchOS 5.3

Utgitt 22. juli 2019

Bluetooth

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forstyrre Bluetooth-trafikk (Key Negotiation of Bluetooth – KNOB)

Beskrivelse: Det var et problem med validering av inndata i Bluetooth. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2019-9506: Daniele Antonioli fra SUTD, Singapore, Dr. Nils Ole Tippenhauer fra CISPA, Tyskland og professor Kasper Rasmussen fra University of Oxford, England

Oppføring lagt til 13. august 2019

Core Data

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8646: Natalie Silvanovich fra Google Project Zero

Core Data

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2019-8647: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Core Data

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8660: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Digital Touch

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8624: Natalie Silvanovich fra Google Project Zero

FaceTime

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2019-8648: Tao Huang og Tielei Wang fra Team Pangu

Foundation

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan være i stand til å forårsake uventet avslutning av et program eller kjøring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8641: Samuel Groß og Natalie Silvanovich fra Google Project Zero

Heimdal

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Det fantes et problem i Samba som kan gjøre det mulig for angripere å utføre uautoriserte handlinger ved å fange opp kommunikasjon mellom tjenester

Beskrivelse: Problemet ble løst med forbedrede kontroller for å forhindre uautoriserte handlinger.

CVE-2018-16860: Isaac Boukris og Andrew Bartlett fra Samba Team og Catalyst

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Et program kan lese begrenset minne

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2019-8633: Zhuo Liang fra Qihoo 360 Vulcan Team

Oppføring lagt til 17. september 2019

libxslt

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan være i stand til å se sensitiv brukerinformasjon

Beskrivelse: En stabeloverflyt ble løst ved å forbedre valideringen av inndata.

CVE-2019-13118: funnet av OSS-Fuzz

Meldinger

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Brukere som er fjernet fra en iMessage-samtale, kan fremdeles klare å endre tilstanden

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2019-8659: Ryan Kontos (@ryanjkontos) og Will Christensen fra University of Oregon

Meldinger

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan forårsake uventet avslutning av et program

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering.

CVE-2019-8665: Michael Hernandez fra XYZ Marketing

Hurtigvisning

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Angripere kan utløse bruk-etter-frigivelse i et program som deserialiserer en ikke-godkjent NSDictionary

Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.

CVE-2019-8662: Natalie Silvanovich og Samuel Groß fra Google Project Zero

Siri

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan lekke minne

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8646: Natalie Silvanovich fra Google Project Zero

UIFoundation

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Parsing av et skadelig Office-dokument kan føre til at et program avsluttes uventet eller utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2019-8657: riusksk fra VulWar Corp i samarbeid med Trend Micros Zero Day Initiative

Wallet

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Brukere kan utilsiktet gjennomføre kjøp i apper mens de er på låst skjerm

Problemet ble løst gjennom forbedret håndtering av grensesnittet.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2019-8658: akayn i samarbeid med Trend Micros Zero Day Initiative

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2019-8669: akayn i samarbeid med Trend Micros Zero Day Initiative

CVE-2019-8672: Samuel Groß fra Google Project Zero

CVE-2019-8676: Soyeon Park og Wen Xu fra SSLab ved Georgia Tech

CVE-2019-8683: lokihardt fra Google Project Zero

CVE-2019-8684: lokihardt fra Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao i samarbeid med ADLab hos Venustech, Ken Wong (@wwkenwong) fra VXRL, Anthony Lai (@darkfloyd1014) fra VXRL og Eric Lung (@Khlung1) fra VXRL

CVE-2019-8688: Insu Yun fra SSLab ved Georgia Tech

CVE-2019-8689: lokihardt fra Google Project Zero

Ytterligere anerkjennelse

MobileInstallation

Vi vil gjerne takke Dany Lisiansky (@DanyL931) for hjelpen.

 

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: