Zawartość związana z zabezpieczeniami w systemie watchOS 5.1.3

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

Wydano 22 stycznia 2019 r.

AppleKeyStore

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2019-6235: Brandon Azad

Core Media

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-6202: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro

CoreAnimation

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-6231: Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360

CoreAnimation

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6230: Proteas, Shrek_wzw i Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360

FaceTime

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: osoba atakująca zdalnie może zainicjować połączenie FaceTime i spowodować w ten sposób wykonanie dowolnego kodu.

Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2019-6224: Natalie Silvanovich z Google Project Zero

IOKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może być w stanie wydostać się ze swojej piaskownicy.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2019-6214: Ian Beer z Google Project Zero

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-6210: Ned Williamson z Google

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2019-6213: Ian Beer z Google Project Zero

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2019-6209: Brandon Azad z Google Project Zero

Przetwarzanie języka naturalnego

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2019-6219: Authier Thomas

SQLite

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-20346: zespół Tencent Blade Team

CVE-2018-20505: zespół Tencent Blade Team

CVE-2018-20506: zespół Tencent Blade Team

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6227: Qixun Zhao z zespołu Vulcan Team firmy Qihoo 360

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2019-6216: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2019-6217: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro, Proteas, Shrek_wzw i Zhuo Liang z zespołu Nirvan Team firmy Qihoo 360

CVE-2019-6226: Apple

mDNSResponder

Dziękujemy za udzieloną pomoc: Fatemah Alharbi z University of California, Riverside (UCR) i Taibah University (TU), Jie Chang z LinkSure Network, Yuchen Zhou z Northeastern University, Feng Qian z University of Minnesota – Twin City, Zhiyun Qian z University of California, Riverside (UCR) oraz Nael Abu-Ghazaleh z University of California, Riverside (UCR).