Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения о безопасности можно найти на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
watchOS 7.0
Дата выпуска: 16 сентября 2020 г.
Клавиатура
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Вредоносное приложение может вызвать утечку конфиденциальной информации пользователя.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2020-9976: Риас А. Шерзад (Rias A. Sherzad) из компании JAIDE GmbH в Гамбурге, Германия
Телефон
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Блокировка экрана может не активироваться через указанный период времени.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-9946: Дэниел Ларссон (Daniel Larsson) из компании iolight AB
Изолированная среда
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Вредоносное приложение может получить доступ к файлам, предназначенным для ограниченного использования.
Описание. Проблема с логикой устранена путем улучшения ограничений.
CVE-2020-9968: Адам Честер (Adam Chester, @_xpn_) из компании TrustedSec
Запись обновлена 17 сентября 2020 г.
WebKit
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2020-9952: Райан Пикрен (Ryan Pickren, ryanpickren.com)
Дополнительные благодарности
Bluetooth
Благодарим за помощь Andy Davis из NCC Group.
Расположение Core
Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).
Ядро
Благодарим за помощь Brandon Azad из подразделения Google Project Zero.
Платформа определения геолокации
Выражаем благодарность за помощь анонимному исследователю.
Safari
Выражаем благодарность за помощь Андреасу Гутманну (Andreas Gutmann, @KryptoAndI) из Центра инноваций компании OneSpan (onespan.com) и Университетского колледжа Лондона, Стивену Дж. Мердоку (Steven J. Murdoch, @SJMurdoch) из Центра инноваций компании OneSpan (onespan.com) и Университетского колледжа Лондона, Джеку Кейблу (Jack Cable) из Lightning Security, а также анонимному исследователю.