Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple.
watchOS 5.3
Publicat pe 22 iulie 2019
Bluetooth
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un utilizator rău intenționat dintr-o poziție privilegiată din rețea poate intercepta traficul Bluetooth (Key Negotiation of Bluetooth - KNOB)
Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-9506: Daniele Antonioli de la SUTD, Singapore, Dr. Nils Ole Tippenhauer de la CISPA, Germania și Prof. Kasper Rasmussen de la Universitatea Oxford, Regatul Unit
Modificările pentru această problemă previn CVE-2020-10135.
Intrare adăugată pe 13 august 2019, actualizată pe 25 iunie 2020
Date de bază
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-8646: natashenka (Google Project Zero)
Date de bază
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2019-8647: Samuel Groß și natashenka de la Google Project Zero
Date de bază
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-8660: Samuel Groß și natashenka de la Google Project Zero
Digital Touch
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-8624: natashenka (Google Project Zero)
FaceTime
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator de la distanță poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2019-8648: Tao Huang și Tielei Wang de la Team Pangu
Heimdal
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: a apărut o problemă în Samba care ar putea permite atacatorilor să realizeze acțiuni neautorizate prin interceptarea comunicațiilor între servicii
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite pentru a preveni acțiunile neautorizate.
CVE-2018-16860: Isaac Boukris și Andrew Bartlett de la Samba Team și Catalyst
Procesarea imaginilor
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.
CVE-2019-8668: un cercetător anonim
Adăugare intrare: 8 octombrie 2019
Kernel
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2019-8633: Zhuo Liang de la Qihoo 360 Vulcan Team
Intrare adăugată pe 17 septembrie 2019
libxslt
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: Un atacator de la distanță poate vedea informații sensibile
Descriere: a fost rezolvată o problemă de depășire a stivei alocate prin îmbunătățirea validării intrării.
CVE-2019-13118: problemă găsită de OSS-Fuzz
Mesaje
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: utilizatorii excluși dintr-o conversație în iMessage pot modifica în continuare starea
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen de la University of Oregon
Mesaje
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator la distanță poate cauza închiderea neașteptată a aplicației
Descriere: a fost rezolvată o problemă de refuzare a serviciului (DoS) prin îmbunătățirea validării.
CVE-2019-8665: Michael Hernandez de la XYZ Marketing
Quick Look
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator poate declanșa o problemă de tip „utilizare după eliberarea memoriei” într-o aplicație, deserializând un NSDictionary care nu este de încredere
Descriere: această problemă a fost rezolvată prin verificări îmbunătățite.
CVE-2019-8662: natashenka și Samuel Groß de la Google Project Zero
Siri
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un atacator la distanță poate accesa informații din memorie
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-8646: natashenka (Google Project Zero)
UIFoundation
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: analizarea unui document Office creat cu rea intenție poate cauza închiderea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2019-8657: riusksk de la VulWar Corp, în colaborare cu inițiativa Zero Day de la Trend Micro
Wallet
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: un utilizator poate face accidental o cumpărare din aplicație de pe ecranul de blocare
Descriere: problema a fost remediată prin îmbunătățirea gestionării interfeței cu utilizatorul.
CVE-2019-8682: Jeff Braswell (JeffBraswell.com)
WebKit
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza crearea de scripturi universale între site-uri
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea gestionării stării.
CVE-2019-8658: akayn în colaborare cu inițiativa Zero Day de la Trend Micro
WebKit
Disponibilitate: Apple Watch Series 1 și modelele ulterioare
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: au fost rezolvate mai multe probleme de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2019-8669: akayn în colaborare cu inițiativa Zero Day de la Trend Micro
CVE-2019-8672: Samuel Groß (Google Project Zero)
CVE-2019-8676: Soyeon Park și Wen Xu de la SSLab, Georgia Tech
CVE-2019-8683: lokihardt (Google Project Zero)
CVE-2019-8684: lokihardt (Google Project Zero)
CVE-2019-8685: akayn, Dongzhuo Zhao în colaborare cu ADLab, Venustech, Ken Wong (@wwkenwong) de la VXRL, Anthony Lai (@darkfloyd1014) de la VXRL și Eric Lung (@Khlung1) de la VXRL
CVE-2019-8688: Insu Yun de la SSLab, Georgia Tech
CVE-2019-8689: lokihardt (Google Project Zero)
Alte mențiuni
MobileInstallation
Dorim să îi mulțumim pentru asistență lui Dany Lisiansky (@DanyL931).