Despre conținutul de securitate din watchOS 5.3

Acest document descrie conținutul de securitate din watchOS 5.3.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.

watchOS 5.3

Publicat pe 22 iulie 2019

Bluetooth

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un utilizator rău intenționat dintr-o poziție privilegiată din rețea poate intercepta traficul Bluetooth (Key Negotiation of Bluetooth - KNOB)

Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-9506: Daniele Antonioli de la SUTD, Singapore, Dr. Nils Ole Tippenhauer de la CISPA, Germania și Prof. Kasper Rasmussen de la Universitatea Oxford, Regatul Unit

Intrare adăugată la data de 13 august 2019

Date de bază

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2019-8646: Natalie Silvanovich de la Google Project Zero

Date de bază

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar

Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.

CVE-2019-8647: Samuel Groß și Natalie Silvanovich de la Google Project Zero

Date de bază

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-8660: Samuel Groß și Natalie Silvanovich de la Google Project Zero

Digital Touch

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2019-8624: Natalie Silvanovich de la Google Project Zero

FaceTime

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar

Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2019-8648: Tao Huang și Tielei Wang de la Team Pangu

Heimdal

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: a apărut o problemă în Samba care ar putea permite atacatorilor să realizeze acțiuni neautorizate prin interceptarea comunicațiilor între servicii

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.

CVE-2018-16860: Isaac Boukris și Andrew Bartlett de la Samba Team și Catalyst

Procesarea imaginilor

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.

CVE-2019-8668: un cercetător anonim

Intrare adăugată pe marți, 8 octombrie 2019

Kernel

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2019-8633: Zhuo Liang de la Qihoo 360 Vulcan Team

Intrare adăugată pe 17 septembrie 2019

libxslt

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: Un atacator de la distanță poate vedea informații sensibile

Descriere: a fost rezolvată o problemă de depășire a stivei alocate prin îmbunătățirea validării intrării.

CVE-2019-13118: problemă găsită de OSS-Fuzz

Mesaje

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: utilizatorii excluși dintr-o conversație în iMessage pot modifica în continuare starea

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen de la University of Oregon

Mesaje

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației

Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.

CVE-2019-8665: Michael Hernandez de la XYZ Marketing

Quick Look

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator poate declanșa o problemă de tip „utilizare după eliberarea memoriei” într-o aplicație, deserializând un NSDictionary care nu este de încredere

Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.

CVE-2019-8662: Natalie Silvanovich și Samuel Groß de la Google Project Zero

Siri

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un atacator la distanță poate accesa informații din memorie

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2019-8646: Natalie Silvanovich de la Google Project Zero

UIFoundation

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: analizarea unui document Office creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar

Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.

CVE-2019-8657: riusksk de la VulWar Corp, în colaborare cu inițiativa Zero Day de la Trend Micro

Wallet

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: un utilizator poate face accidental o cumpărare din aplicație de pe ecranul de blocare

Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri

Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.

CVE-2019-8658: akayn în colaborare cu inițiativa Zero Day de la Trend Micro

WebKit

Disponibilitate: Apple Watch Series 1 și modelele ulterioare

Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2019-8669: akayn în colaborare cu inițiativa Zero Day de la Trend Micro

CVE-2019-8672: Samuel Groß (Google Project Zero)

CVE-2019-8676: Soyeon Park și Wen Xu de la SSLab, Georgia Tech

CVE-2019-8683: lokihardt (Google Project Zero)

CVE-2019-8684: lokihardt (Google Project Zero)

CVE-2019-8685: akayn, Dongzhuo Zhao în colaborare cu ADLab, Venustech, Ken Wong (@wwkenwong) de la VXRL, Anthony Lai (@darkfloyd1014) de la VXRL și Eric Lung (@Khlung1) de la VXRL

CVE-2019-8688: Insu Yun de la SSLab, Georgia Tech

CVE-2019-8689: lokihardt (Google Project Zero)

Alte mențiuni

MobileInstallation

Dorim să îi mulțumim pentru asistență lui Dany Lisiansky (@DanyL931).

 

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: