Obsah zabezpečenia v systéme watchOS 5.2.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 5.2.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 5.2.1
AppleFileConduit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8593: Dany Lisiansky (@DanyL931)
CoreAudio
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie súboru filmu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8585: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreAudio
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.
CVE-2019-8592: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Obrazy disku
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8560: Nikita Pupyshev z Moskovskej štátnej technologickej univerzity N. E. Baumana
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-8605: Ned Williamson v spolupráci s tímom Google Project Zero
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2019-8576: Brandon Azad z tímu Google Project Zero, Junho Jang a Hanul Choi z tímu LINE Security Team
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8591: Ned Williamson v spolupráci s tímom Google Project Zero
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8626: natashenka z tímu Google Project Zero
Mail Message Framework
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-8613: natashenka z tímu Google Project Zero
Správy
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8664: natashenka z tímu Google Project Zero
Správy
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby systémom
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8573: natashenka z tímu Google Project Zero
Správy
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8664: natashenka z tímu Google Project Zero
MobileInstallation
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Lokálny používateľ môže byť schopný upravovať chránené časti súborového systému
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2019-8568: Dany Lisiansky (@DanyL931)
MobileLockdown
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Škodlivá apka môže byť schopná získať prístup k oprávneniam správcu
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8637: Dany Lisiansky (@DanyL931)
SQLite
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8577: Omer Gull zo spoločnosti Checkpoint Research
SQLite
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie dotazu SQL so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8600: Omer Gull zo spoločnosti Checkpoint Research
SQLite
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka so škodlivým kódom môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8598: Omer Gull zo spoločnosti Checkpoint Research
SQLite
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2019-8602: Omer Gull zo spoločnosti Checkpoint Research
sysdiagnose
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Tento problém bol vyriešený vylepšením logiky povolení.
CVE-2019-8574: Dayton Pidhirney (@_watbulb) zo spoločnosti Seekintoo (@seekintoo)
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8607: Junho Jang a Hanul Choi z tímu LINE Security Team
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8583: sakura z tímu Xuanwu Lab spoločnosti Tencent, jessica (@babyjess1ca_) z tímu Keen Lab spoločnosti Tencent a dwfault v spolupráci s tímom ADLab spoločnosti Venustech
CVE-2019-8601: Fluoroacetate v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2019-8622: Samuel Groß z tímu Google Project Zero
CVE-2019-8623: Samuel Groß z tímu Google Project Zero
Wi-Fi
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Útočník s oprávneniami v sieti môže upraviť stav ovládača
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8612: Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Wi-Fi
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti
Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.
CVE-2019-8620: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Ďalšie poďakovanie
Clang
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.
CoreAudio
Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.
CoreFoundation
Poďakovanie za pomoc si zaslúžia Vozzie a Rami, ako aj m4bln, Xiangqian Zhang a Huiming Liu z tímu Xuanwu Lab spoločnosti Tencent.
Jadro
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero a anonymný výskumník.
MediaLibrary
Poďakovanie za pomoc si zaslúžia Angel Ramirez a Min (Spark) Zheng, Xiaolong Bai zo spoločnosti Alibaba Inc.
MobileInstallation
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.