Om sikkerhetsinnholdet i watchOS 6.2.5

I dette dokumentet beskriver vi sikkerhetsinnholdet i watchOS 6.2.5.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet.

watchOS 6.2.5

Utgitt 18. mai 2020

Kontoer

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan forårsake nekting av tjeneste

Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret validering av inndata.

CVE-2020-9827: Jannik Lorenz fra SEEMOO @tudarmstadt

AppleMobileFileIntegrity

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ondsinnet applikasjon kan samhandle med systemprosesser for å få tilgang til privat informasjon og utføre handlinger som krever privilegier

Beskrivelse: Et problem med rettighetsanalyse ble løst gjennom forbedret analyse.

CVE-2020-9842: Linus Henze (pinauten.de)

Lyd

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9815: Yu Zhou (@yuzhou6666) sammen med Trend Micros Zero Day Initiative

Lyd

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-9791: Yu Zhou (@yuzhou6666) sammen med Trend Micros Zero Day Initiative

CoreText

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av en skadelig tekstfil kan føre til tjenestenekt for et program

Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.

CVE-2020-9829: Aaron Perris (@aaronp613), en anonym forsker, en anonym forsker, Carlos S Tech, Sam Menzies fra Sam's Lounge, Sufiyan Gouri fra Lovely Professional University i India, Suleman Hasan Rathor fra Arabic-Classroom.com

FontParser

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Åpning av en skadelig PDF-fil kan føre til at et program avsluttes uventet eller at vilkårlig kode kjøres

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9816: Peter Nguyen Vu Hoang fra STAR Labs sammen med Trend Micros Zero Day Initiative

ImageIO

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.

CVE-2020-3878: Samuel Groß fra Google Project Zero

ImageIO

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9789: Wenchao Li fra VARAS@IIE

CVE-2020-9790: Xingwei Lin fra Ant-Financial Light-Year Security Lab

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En skadelig applikasjon kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9821: Xinru Chi og Tielei Wang fra Pangu Lab

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ondsinnet applikasjon kan bestemme en annen applikasjons minneoppsett

Beskrivelse: Et problem med avdekking av informasjon ble løst gjennom fjerning av den sårbare koden.

CVE-2020-9797: En anonym forsker

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En skadelig applikasjon kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.

CVE-2020-9852: Tao Huang og Tielei Wang fra Pangu Lab

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En applikasjon kan kjøre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.

CVE-2020-9795: Zhuo Liang fra Qihoo 360 Vulcan Team

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En applikasjon kan forårsake uventet systemavslutning eller skrive kjerneminnet

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9808: Xinru Chi og Tielei Wang fra Pangu Lab

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En lokal bruker kan være i stand til å lese kjerneminnet

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-9811: Tielei Wang fra Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En skadelig applikasjon kan kanskje utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Det var et logisk problem som førte til minnekorrupsjon. Dette ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9813: Xinru Chi fra Pangu Lab

CVE-2020-9814: Xinru Chi og Tielei Wang fra Pangu Lab

Kjerne

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En skadelig applikasjon kan fastslå kjerneminneoppsettet

Beskrivelse: Et problem med informasjonsavsløring ble løst med forbedret tilstandshåndtering.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

E-post

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av en ondsinnet e-postmelding kan føre til skade i heapen

Beskrivelse: Et problem med minnebruk ble løst gjennom forbedret minnehåndtering.

CVE-2020-9819: ZecOps.com

E-post

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av en ondsinnet e-postmelding kan føre til uventet minnemodifisering eller applikasjonsavslutning

Beskrivelse: Et problem med skriving utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9818: ZecOps.com

SQLite

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ondsinnet applikasjon kan forårsake tjenestenekt eller potensielt avsløre minneinnhold

Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret grenseverdikontroll.

CVE-2020-9794

Systemvalg

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En applikasjon kan være i stand til å få utvidede rettigheter

Beskrivelse: En kappløpssituasjon ble løst med forbedret tilstandshåndtering.

CVE-2020-9839: @jinmo123, @setuid0x0_ og @insu_yun_en fra @SSLab_Gatech sammen med Trend Micros Zero Day Initiative

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til universell skripting mellom nettsteder

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-9805: En anonym forsker

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-9802: Samuel Groß fra Google Project Zero

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: En ekstern angriper kan være i stand kjøre vilkårlig kode

Beskrivelse: Et logisk problem ble løst gjennom forbedrede restriksjoner.

CVE-2020-9850: @jinmo123, @setuid0x0_ og @insu_yun_en fra @SSLab_Gatech sammen med Trend Micros Zero Day Initiative

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til et skriptangrep mellom nettsteder

Beskrivelse: Et problem med validering av inndata ble løst gjennom forbedret validering av inndata.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering.

CVE-2020-9803: Wen Xu fra SSLab ved Georgia Tech

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2020-9806: Wen Xu fra SSLab ved Georgia Tech

CVE-2020-9807: Wen Xu fra SSLab ved Georgia Tech

WebKit

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.

CVE-2020-9800: Brendan Draper (@6r3nd4n) sammen med Trend Micros Zero Day Initiative

WebRTC

Tilgjengelig for: Apple Watch Series 1 og nyere

Virkning: Behandling av skadelig nettinnhold kan føre til at prosessminne avsløres

Beskrivelse: Et tilgangsproblem ble løst med forbedret minnehåndtering.

CVE-2019-20503: Natalie Silvanovich fra Google Project Zero

Ytterligere anerkjennelser

CoreText

Vi vil takke Jiska Classen (@naehrdine) og Dennis Heinze (@ttdennis) fra Secure Mobile Networking Lab for hjelpen.

ImageIO

Vi vil takke Lei Sun for hjelpen.

IOHIDFamily

Vi vil takke Andy Davis fra NCC Group for hjelpen.

Kjerne

Vi vil gjerne takke Brandon Azad fra Google Project Zero for hjelpen.

Safari

Vi vil takke Luke Walker fra Manchester Metropolitan University for hjelpen.

WebKit

Vi vil takke Aidan Dunlap fra University of Texas Austin for hjelpen.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: