Obsah zabezpečenia v systéme watchOS 6

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 6.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 6

Zvuk

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie zvukového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8706: Yu Zhou z tímu Ant-Financial Light-Year Security Lab

Zvuk

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Spracovanie zvukového súboru so škodlivým kódom môže viesť k odhaleniu vyhradenej pamäte

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8850: Anonymný výskumník v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CFNetwork

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8753: Łukasz Pilorz zo spoločnosti Standard Chartered GBS Poland

CoreAudio

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie súboru filmu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8705: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreCrypto

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie veľkého vstupu môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8741: Nicky Mouha z Národného inštitútu pre normy a technológie (NIST)

Foundation

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie aplikácie alebo spustenie ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8746: natashenka a Samuel Groß z tímu Google Project Zero

IOUSBDeviceFamily

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8718: Joshua Hill a Sem Voigtländer

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením autorizácie.

CVE-2019-8703: Anonymný výskumník

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Miestna aplikácia môže byť schopná čítať perzistentný identifikátor účtu

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8809: Apple

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Pri spracovávaní IPv6 paketov dochádzalo k problému súvisiacemu s poškodením pamäte. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2019-8744: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Jadro

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8717: Jann Horn z tímu Google Project Zero

libxml2

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Viacero problémov v knižnici libxml2

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8749: Nájdené programom OSS-Fuzz

CVE-2019-8756: Nájdené programom OSS-Fuzz

mDNSResponder

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Útočník vo fyzickej blízkosti môže byť schopný pasívne zisťovať názvy zariadení v rámci komunikácie AWDL

Popis: Tento problém sa odstránil nahradením názvov zariadení náhodným identifikátorom.

CVE-2019-8799: David Kreitschmann a Milan Stute z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

UIFoundation

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie textového súboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8745: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

UIFoundation

Dostupné pre: Apple Watch Series 3 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8831: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8710: Nájdené programom OSS-Fuzz

CVE-2019-8728: Junho Jang z tímu LINE Security Team a Hanul Choi zo spoločnosti ABLY Corporation

CVE-2019-8734: Nájdené programom OSS-Fuzz

CVE-2019-8751: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech

CVE-2019-8752: Dongzhuo Zhao v spolupráci s tímom ADLab spoločnosti Venustech

CVE-2019-8773: Nájdené programom OSS-Fuzz

Wi-Fi

Dostupné pre: Apple Watch Series 3 a novšie

Dosah: Zariadenie možno pasívne sledovať podľa jeho MAC adresy vo Wi-Fi sieti

Popis: Dochádzalo k problému súvisiacemu s ochranou osobných údajov používateľa, ktorý bol vyriešený odstránením MAC adresy vysielania.

CVE-2019-8854: Ta-Lun Yen z tímu UCCU Hacker a FuriousMacTeam z akadémie United States Naval Academy a Mitre Cooperation

Ďalšie poďakovanie

Zvuk

Poďakovanie za pomoc si zaslúži riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.

boringssl

Poďakovanie za pomoc si zaslúži Thijs Alkemade (@xnyhps) zo spoločnosti Computest.

HomeKit

Poďakovanie za pomoc si zaslúži Tian Zhang.

Jadro

Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.

mDNSResponder

Poďakovanie za pomoc si zaslúži Gregor Lang zo spoločnosti e.solutions GmbH.

Profily

Poďakovanie za pomoc si zaslúžia Erik Johnson zo Strednej školy vo Vernon Hills a James Seeley (@Code4iOS) zo spoločnosti Shriver Job Corps.

Safari

Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).

WebKit

Poďakovanie za pomoc si zaslúžia MinJeong Kim z tímu Information Security Lab na univerzite Chungnam National University, JaeCheol Ryou z tímu Information Security Lab na univerzite Chungnam National University v Južnej Kórei a cc v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.