Obsah zabezpečenia v systéme watchOS 5.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 5.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple.

watchOS 5.2

Vydané 27. marca 2019

Účty

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie súboru VCF so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8538: Trevor Spiniolas (@TrevorSpiniolas)

Dátum pridania záznamu: 3. apríla 2019

CFString

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-8516: Tím SWIPS Team zo spoločnosti Frifee Inc.

configd

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8552: Mohamed Ghannam (@_simo36)

Kontakty

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8511: Anonymný výskumník

CoreCrypto

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8542: Anonymný výskumník

File

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie súboru so škodlivým kódom môže viesť k odhaleniu používateľských informácií

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8906: Francisco Alonso

Dátum aktualizovania záznamu: 15. apríla 2019

Foundation

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-7286: Anonymný výskumník, Clement Lecigne z tímu Google Threat Analysis Group, Ian Beer z tímu Google Project Zero a Samuel Groß z tímu Google Project Zero

GeoServices

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Kliknutie na odkaz so škodlivým kódom v SMS správe môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8553: Anonymný výskumník

iAP

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8542: Anonymný výskumník

IOHIDFamily

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8545: Adam Donenfeld (@doadam) z tímu Zimperium zLabs Team

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-8547: derrek (@derrekr6)

Dátum pridania záznamu: 30. mája 2019

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8525: Zhuo Liang a shrek_wzw z tímu Qihoo 360 Nirvan

Dátum pridania záznamu: 30. mája 2019

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Vzdialený útočník môže byť schopný spôsobiť neočakávané ukončenie systému alebo poškodiť pamäť jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.

CVE-2019-8527: Ned Williamson zo spoločnosti Google a derrek (@derrekr6)

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8528: Fabiano Anemone (@anoane), Zhao Qixun (@S0rryMybad) z tímu Qihoo 360 Vulcan Team

Dátum pridania záznamu: 3. apríla 2019

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8540: Weibo Wang (@ma1fan) z tímu Qihoo 360 Nirvan Team

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8514: Samuel Groß z tímu Google Project Zero

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2019-6207: Weibo Wang z tímu Qihoo 360 Nirvan Team (@ma1fan)

CVE-2019-8510: Stefan Esser z tímu Antid0te UG

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-7293: Ned Williamson zo spoločnosti Google

MediaLibrary

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Škodlivá aplikácia môže byť schopná získať prístup k obmedzeným súborom

Popis: Problém s povoleniami sa vyriešil odstránením nedostatočne zabezpečeného kódu a pridaním ďalších kontrol.

CVE-2019-8532: Angel Ramirez, Min (Spark) Zheng a Xiaolong Bai zo spoločnosti Alibaba Inc.

Dátum pridania záznamu: 30. mája 2019

Správy

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený používaním ďalších obmedzení izolovaného priestoru.

CVE-2019-8546: ChiYuan Chang

Kód

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Čiastočne zadaný kód sa nemusí vymazať, keď sa zariadenie uspí

Popis: Dochádzalo k problému, v dôsledku ktorého sa čiastočne zadané kódy nemuseli vymazať, keď sa zariadenie uspalo. Tento problém bol vyriešený vymazaním kódu pri uspávaní zariadenia.

CVE-2019-8548: Tobias Sachs

Správa napájania

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: V generovanom kóde MIG dochádzalo k viacerým problémom s overovaním vstupu. Tieto problémy boli vyriešené vylepšením overovania.

CVE-2019-8549: Mohamed Ghannam (@_simo36) zo spoločnosti SSD Secure Disclosure (ssd-disclosure.com)

Ochrana osobných údajov

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia so škodlivým kódom môže byť schopná sledovať používateľov medzi inštaláciami

Popis: V kalibrácii senzora pohybu dochádzalo k problému s ochranou osobných údajov. Tento problém bol vyriešený vylepšením spracovania senzora pohybu.

CVE-2019-8541: Stan (Jiexin) Zhang a Alastair R. Beresford z Univerzity Cambridge, Ian Sheret zo spoločnosti Polymath Insight Limited

Izolovaný priestor

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Izolovaný proces môže byť schopný obísť obmedzenia izolovaného priestoru

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.

CVE-2019-8618: Brandon Azad

Dátum pridania záznamu: 30. mája 2019

Zabezpečenie

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Môže sa dôverovať nedôveryhodnému certifikátu servera Radius

Popis: V správe entity trust anchor dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania adries.

CVE-2019-8531: Anonymný výskumník, tím QA zo spoločnosti SecureW2

Dátum pridania záznamu: 15. mája 2019

Siri

Dostupné pre: Apple Watch Series 1 a novšie

Dosah: Aplikácia so škodlivým kódom môže byť schopná inicializovať žiadosť diktovania bez autorizácie používateľa

Popis: Pri spracovávaní žiadostí diktovania dochádzalo k problému s rozhraním API. Tento problém bol vyriešený vylepšením overovania adries.

CVE-2019-8502: Luke Deshotels zo Severokarolínskej štátnej univerzity, Jordan Beichler zo Severokarolínskej štátnej univerzity, William Enck zo Severokarolínskej štátnej univerzity, Costin Carabaș z Polytechnickej univerzity v Bukurešti a Răzvan Deaconescu z Polytechnickej univerzity v Bukurešti

TrueTypeScaler

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webovej stránky so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2019-8517: riusksk zo spoločnosti VulWar Corp v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8536: Apple

CVE-2019-8544: Anonymný výskumník

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8506: Samuel Groß z tímu Google Project Zero

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8518: Samuel Groß z tímu Google Project Zero

CVE-2019-8558: Samuel Groß z tímu Google Project Zero

CVE-2019-8559: Apple

CVE-2019-8563: Apple

CVE-2019-8638: Nájdené programom OSS-Fuzz

CVE-2019-8639: Nájdené programom OSS-Fuzz

Dátum aktualizovania záznamu: 30. mája 2019

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.

CVE-2019-7292: Zhunki a Zhiyi Zhang z tímu 360 ESG Codesafe Team

Ďalšie poďakovanie

Účty

Poďakovanie za pomoc si zaslúži Milan Stute z laboratória zabezpečených mobilných sietí na Technickej univerzite v Darmstadte.

Dátum pridania záznamu: 30. mája 2019

Jadro

Poďakovanie za pomoc si zaslúžia Brandon Azad z tímu Google Project Zero, Brandon Azad a Raz Mashat (@RazMashat) zo Strednej školy Ilana Ramona.

Dátum aktualizovania záznamu: 30. mája 2019

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: