Despre conținutul de securitate din watchOS 5.2

Acest document descrie conținutul de securitate din watchOS 5.2.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

watchOS 5.2

Publicare: 27 martie 2019

Conturi

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui fișier vcf creat cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Adăugare intrare: 3 aprilie 2019

CFString

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui șir creat cu rea intenție poate cauza o refuzare a serviciului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2019-8516: SWIPS Team (Frifee Inc.)

configd

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Contacte

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.

CVE-2019-8511: un cercetător anonim

CoreCrypto

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de depășire de memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2019-8542: un cercetător anonim

fișier

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui fișier creat cu rea intenție poate divulga informațiile utilizatorului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2019-8906: Francisco Alonso

Actualizare intrare:15 aprilie 2019

Foundation

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-7286: un cercetător anonim, Clement Lecigne (Google Threat Analysis Group), Ian Beer și Samuel Groß (Google Project Zero)

GeoServices

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: clicul pe un link rău intenționat dintr-un SMS poate duce la executarea arbitrară de cod

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.

CVE-2019-8553: un cercetător anonim

iAP

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate să acorde privilegii superioare

Descriere: o problemă de depășire de memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.

CVE-2019-8542: un cercetător anonim

IOHIDFamily

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un utilizator local ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea gestionării stării.

CVE-2019-8545: Adam Donenfeld (@doadam) (Zimperium zLabs Team)

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator la distanță ar putea cauza închiderea neașteptată a sistemului sau ar putea citi memoria kernel

Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.

CVE-2019-8527: Ned Williamson (Google) și derrek (@derrekr6)

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)

Adăugare intrare: 3 aprilie 2019

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a fost rezolvată o problemă de inițializare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8540: Weibo Wang (@ma1fan) (Qihoo 360 Nirvan Team)

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-8514: Samuel Groß (Google Project Zero)

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-6207: Weibo Wang (Qihoo 360 Nirvan Team) (@ma1fan)

CVE-2019-8510: Stefan Esser (Antid0te UG)

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un utilizator local poate citi memoria kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-7293: Ned Williamson (Google)

Mesaje

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: se poate ca un utilizator local să vizualizeze informații sensibile despre utilizator

Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.

CVE-2019-8546: ChiYuan Chang

Cod de acces

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: este posibil ca un cod de acces introdus parțial să nu se curețe atunci când dispozitivul intră în modul adormire

Descriere: exista o problemă în care era posibil ca un cod de acces introdus parțial să nu se curețe atunci când dispozitivul intra în modul adormire. Problema a fost rezolvată prin ștergerea codului de acces atunci când un dispozitiv blocat este în modul adormire.

CVE-2019-8548: Tobias Sachs

Gestionarea consumului de energie

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate executa un cod arbitrar cu privilegii de sistem

Descriere: existau mai multe probleme legate de validarea intrării în codul generat de MIG. Aceste probleme au fost rezolvate printr-o îmbunătățire a validării.

CVE-2019-8549: Mohamed Ghannam (@_simo36) (SSD Secure Disclosure) (ssd-disclosure.com)

Confidențialitate

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate urmări utilizatori între instalări

Descriere: a existat o problemă de confidențialitate la calibrarea senzorului de mișcare. Această problemă a fost rezolvată prin îmbunătățirea procesării senzorului de mișcare.

CVE-2019-8541: Stan (Jiexin) Zhang și Alastair R. Beresford (Universitatea din Cambridge), Ian Sheret (Polymath Insight Limited)

Siri

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație rău intenționată poate iniția o solicitare de dictare fără autorizare din partea utilizatorului

Descriere: a existat o problemă API de tratare a solicitărilor de dictare. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2019-8502: Luke Deshotels (North Carolina State University), Jordan Beichler (North Carolina State University), William Enck (North Carolina State University), Costin Carabaș (Universitatea POLITEHNICĂ din București) și Răzvan Deaconescu (Universitatea POLITEHNICĂ din București)

TrueTypeScaler

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui font creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin îmbunătățirea verificării limitelor.

CVE-2019-8517: riusksk (VulWar Corp) în colaborare cu Zero Day Initiative (Trend Micro)

WebKit

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8536: Apple

CVE-2019-8544: un cercetător anonim

WebKit

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.

CVE-2019-8506: Samuel Groß (Google Project Zero)

WebKit

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8518: Samuel Groß (Google Project Zero)

CVE-2019-8558: Samuel Groß (Google Project Zero)

CVE-2019-8559: Apple

CVE-2019-8563: Apple

WebKit

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea conținutului unui site web creat cu rea intenție poate cauza divulgarea memoriei procesului

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.

CVE-2019-7292: Zhunki și Zhiyi Zhang (360 ESG Codesafe Team)

Alte mențiuni

Kernel

Dorim să îi mulțumim lui Brandon Azad (Google Project Zero) pentru asistența acordată.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: