Zawartość związana z zabezpieczeniami w systemie watchOS 6.2.5

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 6.2.5.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.

watchOS 6.2.5

Konta

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9827: Jannik Lorenz z SEEMOO w TU Darmstadt

AppleMobileFileIntegrity

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może wchodzić w interakcję z procesami systemowymi w celu uzyskania dostępu do prywatnych informacji i wykonywania czynności wymagających specjalnych uprawnień.

Opis: rozwiązano problem dotyczący analizowania uprawnień przez ulepszenie procesu analizowania.

CVE-2020-9842: Linus Henze (pinauten.de)

Dźwięk

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9815: Yu Zhou (@yuzhou6666) w ramach programu Zero Day Initiative firmy Trend Micro

Dźwięk

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9791: Yu Zhou (@yuzhou6666) w ramach programu Zero Day Initiative firmy Trend Micro

CoreText

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego tekstu może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2020-9829: Aaron Perris (@aaronp613), anonimowy badacz, anonimowy badacz, Carlos S Tech, Sam Menzies (Sam’s Lounge), Sufiyan Gouri (Lovely Professional University), India, Suleman Hasan Rathor (Arabic-Classroom.com)

FontParser

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9816: Peter Nguyen Vu Hoang (STAR Labs) w ramach programu Zero Day Initiative firmy Trend Micro

ImageIO

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-3878: Samuel Groß z Google Project Zero

ImageIO

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9789: Wenchao Li (VARAS@IIE)

CVE-2020-9790: Xingwei Lin (Ant-financial Light-Year Security Lab)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9821: Xinru Chi i Tielei Wang (Pangu Lab)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci innej aplikacji.

Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.

CVE-2020-9797: anonimowy badacz

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9852: Tao Huang i Tielei Wang (Pangu Lab)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2020-9795: Zhuo Liang (Qihoo 360 Vulcan Team)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9808: Xinru Chi i Tielei Wang (Pangu Lab)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9811: Tielei Wang (Pangu Lab)

CVE-2020-9812: derrek (@derrekr6)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2020-9813: Xinru Chi (Pangu Lab)

CVE-2020-9814: Xinru Chi i Tielei Wang (Pangu Lab)

Jądro

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.

Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

libxpc

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.

Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.

CVE-2020-9994: Apple

Mail

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do uszkodzenia sterty.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2020-9819: ZecOps.com

Mail

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do nieoczekiwanej modyfikacji pamięci lub zakończenia działania aplikacji.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9818: ZecOps.com

rsync

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: osoba atakująca zdalnie może nadpisać istniejące pliki.

Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.

CVE-2014-9512: gaojianfeng

SQLite

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: złośliwa aplikacja może przeprowadzić atak typu „odmowa usługi” (DoS) lub ujawnić zawartość pamięci.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2020-9794

Preferencje systemowe

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.

CVE-2020-9839: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9805: anonimowy badacz

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9802: Samuel Groß (Google Project Zero)

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.

Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.

CVE-2020-9850: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).

Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2020-9803: Wen Xu z grupy SSLab uczelni Georgia Tech

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2020-9806: Wen Xu z grupy SSLab uczelni Georgia Tech

CVE-2020-9807: Wen Xu z grupy SSLab uczelni Georgia Tech

WebKit

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2020-9800: Brendan Draper (@6r3nd4n) w ramach programu Zero Day Initiative firmy Trend Micro

WebRTC

Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli

Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.

Opis: problem z dostępem rozwiązano przez poprawienie procedur zarządzania pamięcią.

CVE-2019-20503: natashenka z Google Project Zero

Dodatkowe podziękowania

CoreText

Dziękujemy za udzieloną pomoc: Jiska Classen (@naehrdine) i Dennis Heinze (@ttdennis) z Secure Mobile Networking Lab.

ImageIO

Dziękujemy za udzieloną pomoc: Lei Sun.

IOHIDFamily

Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.

Jądro

Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.

Safari

Dziękujemy za udzieloną pomoc: Luke Walker (Manchester Metropolitan University).

WebKit

Dziękujemy za udzieloną pomoc: Aidan Dunlap (UT Austin).