Zawartość związana z zabezpieczeniami w systemie watchOS 6.2.5
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 6.2.5.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 6.2.5
Konta
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9827: Jannik Lorenz z SEEMOO w TU Darmstadt
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może wchodzić w interakcję z procesami systemowymi w celu uzyskania dostępu do prywatnych informacji i wykonywania czynności wymagających specjalnych uprawnień.
Opis: rozwiązano problem dotyczący analizowania uprawnień przez ulepszenie procesu analizowania.
CVE-2020-9842: Linus Henze (pinauten.de)
Dźwięk
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9815: Yu Zhou (@yuzhou6666) w ramach programu Zero Day Initiative firmy Trend Micro
Dźwięk
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9791: Yu Zhou (@yuzhou6666) w ramach programu Zero Day Initiative firmy Trend Micro
CoreText
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego tekstu może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2020-9829: Aaron Perris (@aaronp613), anonimowy badacz, anonimowy badacz, Carlos S Tech, Sam Menzies (Sam’s Lounge), Sufiyan Gouri (Lovely Professional University), India, Suleman Hasan Rathor (Arabic-Classroom.com)
FontParser
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9816: Peter Nguyen Vu Hoang (STAR Labs) w ramach programu Zero Day Initiative firmy Trend Micro
ImageIO
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-3878: Samuel Groß z Google Project Zero
ImageIO
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9789: Wenchao Li (VARAS@IIE)
CVE-2020-9790: Xingwei Lin (Ant-financial Light-Year Security Lab)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2020-9821: Xinru Chi i Tielei Wang (Pangu Lab)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci innej aplikacji.
Opis: usunięto błąd powodujący ujawnianie informacji przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2020-9797: anonimowy badacz
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9852: Tao Huang i Tielei Wang (Pangu Lab)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2020-9795: Zhuo Liang (Qihoo 360 Vulcan Team)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub zapisanie pamięci jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2020-9808: Xinru Chi i Tielei Wang (Pangu Lab)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.
CVE-2020-9811: Tielei Wang (Pangu Lab)
CVE-2020-9812: derrek (@derrekr6)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2020-9813: Xinru Chi (Pangu Lab)
CVE-2020-9814: Xinru Chi i Tielei Wang (Pangu Lab)
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: usunięto błąd dotyczący ujawniania pamięci przez poprawienie mechanizmu zarządzania stanem.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może nadpisać dowolne pliki.
Opis: usunięto błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2020-9994: Apple
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do uszkodzenia sterty.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2020-9819: ZecOps.com
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do nieoczekiwanej modyfikacji pamięci lub zakończenia działania aplikacji.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9818: ZecOps.com
rsync
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może nadpisać istniejące pliki.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2014-9512: gaojianfeng
SQLite
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może przeprowadzić atak typu „odmowa usługi” (DoS) lub ujawnić zawartość pamięci.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2020-9794
Preferencje systemowe
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto sytuację wyścigu przez poprawienie obsługi stanu.
CVE-2020-9839: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak UXSS (universal cross site scripting).
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9805: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9802: Samuel Groß (Google Project Zero)
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2020-9850: @jinmo123, @setuid0x0_ i @insu_yun_en (@SSLab_Gatech) w ramach programu Zero Day Initiative firmy Trend Micro
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może spowodować atak XSS (cross-site-scripting).
Opis: usunięto błąd sprawdzania poprawności danych wejściowych przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.
CVE-2020-9803: Wen Xu z grupy SSLab uczelni Georgia Tech
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2020-9806: Wen Xu z grupy SSLab uczelni Georgia Tech
CVE-2020-9807: Wen Xu z grupy SSLab uczelni Georgia Tech
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2020-9800: Brendan Draper (@6r3nd4n) w ramach programu Zero Day Initiative firmy Trend Micro
WebRTC
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetwarzanie złośliwie spreparowanej zawartości internetowej może doprowadzić do ujawnienia pamięci procesowej.
Opis: problem z dostępem rozwiązano przez poprawienie procedur zarządzania pamięcią.
CVE-2019-20503: natashenka z Google Project Zero
Dodatkowe podziękowania
CoreText
Dziękujemy za udzieloną pomoc: Jiska Classen (@naehrdine) i Dennis Heinze (@ttdennis) z Secure Mobile Networking Lab.
ImageIO
Dziękujemy za udzieloną pomoc: Lei Sun.
IOHIDFamily
Dziękujemy za udzieloną pomoc: Andy Davis z NCC Group.
Jądro
Dziękujemy za udzieloną pomoc: Brandon Azad z Google Project Zero.
Safari
Dziękujemy za udzieloną pomoc: Luke Walker (Manchester Metropolitan University).
WebKit
Dziękujemy za udzieloną pomoc: Aidan Dunlap (UT Austin).
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.