Obsah zabezpečenia v systéme watchOS 6.1.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 6.1.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 6.1.1

CallKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: V zariadeniach s dvoma aktívnymi programami sa môžu hovory uskutočnené pomocou Siri iniciovať použitím nesprávneho programu

Popis: Pri spracúvaní odchádzajúcich telefonických hovorov iniciovaných prostredníctvom Siri dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením spracovania stavu.

CVE-2019-8856: Fabrice TERRANCLE zo spoločnosti TERRANCLE SARL

CFNetwork

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Útočník s oprávneniami v sieti môže byť schopný obísť zabezpečenie HSTS v prípade obmedzeného počtu konkrétnych domén najvyššej úrovne, ktoré predtým neboli v zozname predbežného načítavania HSTS

Popis: Dochádzalo k problému s konfiguráciou, ktorý bol vyriešený používaním ďalších obmedzení.

CVE-2019-8834: Rob Sayre (@sayrer)

Proxy servery súčasti CFNetwork

Dostupné pre: Apple Watch Series 1 a novšie

Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Tento problém bol vyriešený vylepšením kontrol.

CVE-2019-8848: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360

FaceTime

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie videa so škodlivým kódom cez FaceTime môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8830: natashenka z tímu Google Project Zero

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.

CVE-2019-8833: Ian Beer z tímu Google Project Zero

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8828: Cim Stordal zo spoločnosti Cognite

CVE-2019-8838: Dr. Silvio Cesare zo spoločnosti InfoSect

libexpat

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Analýza súboru XML so škodlivým kódom môže viesť k odkrytiu informácií o používateľoch

Popis: Tento problém bol vyriešený aktualizovaním súčasti expat na verziu 2.2.8.

CVE-2019-15903: Joonun Jang

libpcap

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Viacero problémov v súčasti libpcap

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním súčasti libpcap na verziu 1.9.1

CVE-2019-15161

CVE-2019-15162

CVE-2019-15163

CVE-2019-15164

CVE-2019-15165

Zabezpečenie

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8832: Insu Yun z tímu SSLab na univerzite Georgia Tech

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8844: William Bowling (@wcbowling)

Ďalšie poďakovanie

Účty

Poďakovanie za pomoc si zaslúžia Allison Husain z UC Berkeley, Kishan Bagaria (KishanBagaria.com), Tom Snelling z univerzity v Loughborough.

Core Data

Poďakovanie za pomoc si zaslúži natashenka z tímu Google Project Zero.