Zawartość związana z zabezpieczeniami w systemie watchOS 5.2.1
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 5.2.1.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 5.2.1
AppleFileConduit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreAudio
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Obrazy dysków
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8605: Ned Williamson w ramach programu Google Project Zero
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8626: natashenka z Google Project Zero
Szkielet wiadomości aplikacji Mail
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8613: natashenka z Google Project Zero
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8664: natashenka z Google Project Zero
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8573: natashenka z Google Project Zero
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8664: natashenka z Google Project Zero
MobileInstallation
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2019-8577: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8600: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8598: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2019-8602: Omer Gull z firmy Checkpoint Research
sysdiagnose
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech
CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8622: Samuel Groß z Google Project Zero
CVE-2019-8623: Samuel Groß z Google Project Zero
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2019-8620: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Dodatkowe podziękowania
Clang
Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.
CoreAudio
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
CoreFoundation
Dziękujemy za udzieloną pomoc: Vozzie oraz Rami i m4bln, Xiangqian Zhang, Huiming Liu z Xuanwu Lab firmy Tencent.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero, anonimowy badacz.
MediaLibrary
Dziękujemy za udzieloną pomoc: Angel Ramirez i Min (Spark) Zheng, Xiaolong Bai z Alibaba Inc.
MobileInstallation
Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.