Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.
watchOS 6.2
Utgitt 24. mars 2020
Kontoer
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: En sandkasseprosess kan omgå sandkasserestriksjoner
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-9772: Allison Husain fra UC Berkeley
Oppføring lagt til 21. mai 2020
ActionKit
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Et program kan være i stand til å bruke en SSH-klient forsynt av private rammeverk
Beskrivelse: Dette problemet ble løst med en ny rettighet.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: En applikasjon kan være i stand til å bruke vilkårlige rettigheter
Beskrivelse: Problemet ble løst gjennom bedre kontroller.
CVE-2020-3883: Linus Henze (pinauten.de)
CoreFoundation
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Et skadelig program kan være i stand til å utvide rettigheter
Beskrivelse: Det var et problem med tillatelser. Problemet ble løst gjennom forbedret validering av tillatelser.
CVE-2020-3913: Timo Christ fra Avira Operations GmbH & Co. KG
Symboler
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Bruk av et alternativt appsymbol kan føre til at bilder videreformidles uten å forespørre tilgang til bildene
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Bildebehandling
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Et program kan utføre vilkårlig kode med systemrettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3919: Alex Plaskett fra F-Secure Consulting
Oppføring oppdatert 21. mai 2020
Kjerne
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et problem med initialisering av minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3914: pattern-f (@pattern_F_) fra WaCai
Kjerne
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-9785: Proteas fra Qihoo 360 Nirvan Team
libxml2
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Flere problemer i libxml2
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret grenseverdikontroll.
CVE-2020-3909: LGTM.com
CVE-2020-3911: funnet av OSS-Fuzz
libxml2
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Flere problemer i libxml2
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2020-3910: LGTM.com
Meldinger
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: En person med fysisk tilgang til en låst iOS-enhet kan være i stand til å svare på meldinger selv om svar er deaktivert
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2020-3891: Peter Scott
Sandkasse
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: En lokal bruker kan være i stand til å se sensitiv brukerinformasjon
Beskrivelse: Et problem med tilgang ble løst gjennom ekstra sandkasserestriksjoner.
CVE-2020-3918: Augusto Alvarez fra Outcourse Limited
Oppføring lagt til 1. mai 2020
WebKit
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Noen nettsteder har kanskje ikke dukket opp i Safari-valg
Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.
CVE-2020-9787: Ryan Pickren (ryanpickren.com)
Oppføring lagt til 1. mai 2020
WebKit
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.
CVE-2020-3899: funnet av OSS-Fuzz
Oppføring lagt til 1. mai 2020
WebKit
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao i samarbeid med ADLab hos Venustech
WebKit
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Tilgjengelig for: Apple Watch Series 1 og nyere
Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2020-3897: Brendan Draper (@6r3nd4n) i samarbeid med Trend Micros Zero Day Initiative
Ytterligere anerkjennelse
FontParser
Vi vil gjerne takke Matthew Denton fra Google Chrome for hjelpen.
Kjerne
Vi vil gjerne takke Siguza for hjelpen.
LinkPresentation
Vi vil gjerne takke Travis for hjelpen.
Telefon
Vi vil gjerne takke Yiğit Can YILMAZ (@yilmazcanyigit) for hjelpen.
rapportd
Vi vil gjerne takke Alexander Heinrich (@Sn0wfreeze) fra Technische Universität Darmstadt for hjelpen.
WebKit
Vi vil gjerne takke Samuel Groß fra Google Project Zero for hjelpen.
Oppføring oppdatert 4. april 2020