Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 5.2.1
Wydano 13 maja 2019 r.
AppleFileConduit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku filmu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8585: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
CoreAudio
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.
CVE-2019-8592: riusksk z firmy VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 1 sierpnia 2019 r.
Obrazy dysków
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2019-8560: Nikita Pupyshev z Bauman Moscow State Technological University
Wpis uaktualniono 30 maja 2019 r.
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8605: Ned Williamson w ramach programu Google Project Zero
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2019-8576: Brandon Azad z Google Project Zero, Junho Jang i Hanul Choi z LINE Security Team
Wpis uaktualniono 30 maja 2019 r.
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2019-8591: Ned Williamson w ramach programu Google Project Zero
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8626: natashenka z Google Project Zero
Szkielet wiadomości aplikacji Mail
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2019-8613: natashenka z Google Project Zero
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8664: natashenka z Google Project Zero
Wpis dodano 1 sierpnia 2019 r.
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8573: natashenka z Google Project Zero
Wpis dodano 3 lipca 2019 r.
Wiadomości
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8664: natashenka z Google Project Zero
Wpis dodano 3 lipca 2019 r.
MobileInstallation
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: lokalny użytkownik może być w stanie zmodyfikować chronione części systemu plików.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie uzyskać uprawnienia użytkownika root.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie obsługi pamięci.
CVE-2019-8577: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowane zapytanie SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8600: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może odczytać pamięć zastrzeżoną.
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8598: Omer Gull z firmy Checkpoint Research
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może zdobyć podwyższone uprawnienia.
Opis: naprawiono błąd powodujący uszkodzenie pamięci przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2019-8602: Omer Gull z firmy Checkpoint Research
sysdiagnose
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) z firmy Seekintoo (@seekintoo)
Wpis uaktualniono 3 lutego 2020 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2019-8607: Junho Jang and Hanul Choi z grupy Security Team firmy LINE
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2019-8583: sakura z grupy Tencent Xuanwu Lab, jessica (@babyjess1ca_) z grupy Tencent Keen Lab, dwfault z grupy ADLab firmy Venustech
CVE-2019-8601: Fluoroacetate w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2019-8622: Samuel Groß z Google Project Zero
CVE-2019-8623: Samuel Groß z Google Project Zero
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może modyfikować stan sterownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2019-8612: Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Wpis dodano 30 maja 2019 r.
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2019-8620: David Kreitschmann i Milan Stute z Secure Mobile Networking Lab uczelni Technische Universität Darmstadt
Dodatkowe podziękowania
Clang
Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.
CoreAudio
Dziękujemy za udzieloną pomoc: riusksk z VulWar Corp w ramach programu Zero Day Initiative firmy Trend Micro.
Wpis dodano 25 lipca 2019 r.
CoreFoundation
Dziękujemy za udzieloną pomoc: Vozzie oraz Rami i m4bln, Xiangqian Zhang, Huiming Liu z Xuanwu Lab firmy Tencent.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero, anonimowy badacz.
MediaLibrary
Dziękujemy za udzieloną pomoc: Angel Ramirez i Min (Spark) Zheng, Xiaolong Bai z Alibaba Inc.
MobileInstallation
Dziękujemy za udzieloną pomoc: Yiğit Can YILMAZ (@yilmazcanyigit).