Obsah zabezpečenia v systéme watchOS 6.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 6.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.

watchOS 6.1

Účty

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2019-8787: Steffen Klee z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte

AirDrop

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Prenosy prostredníctvom technológie AirDrop sa môžu v režime Všetci neočakávane akceptovať

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2019-8796: Allison Husain z UC Berkeley

App Store

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Lokálny útočník sa môže prihlásiť do účtu predtým prihláseného používateľa bez použitia platných prihlasovacích údajov.

Popis: Dochádzalo k problému súvisiacemu s overovaním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Zvuk

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8785: Ian Beer z tímu Google Project Zero

CVE-2019-8797: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure

Kontakty

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie kontaktu so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-7152: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)

Udalosti súborového systému

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8798: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2019-8794: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2019-8786: Wen Xu z Technickej univerzity v Georgii, člen tímu Offensive Security Research spoločnosti Microsoft

Jadro

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.

CVE-2019-8829: Jann Horn z tímu Google Project Zero

libxslt

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Viacero problémov v knižnici libxslt

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.

CVE-2019-8750: Nájdené programom OSS-Fuzz

VoiceOver

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup ku kontaktom zo zamknutej plochy

Popis: Tento problém bol vyriešený obmedzením možností, ktoré sú dostupné v zamknutom zariadení.

CVE-2019-8775: videosdebarraquito

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2019-8764: Sergei Glazunov z tímu Google Project Zero

WebKit

Dostupné pre: Apple Watch Series 1 a novšie

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2019-8743: zhunki z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group

CVE-2019-8765: Samuel Groß z tímu Google Project Zero

CVE-2019-8766: Nájdené programom OSS-Fuzz

CVE-2019-8808: Nájdené programom OSS-Fuzz

CVE-2019-8811: Soyeon Park z tímu SSLab na Technickej univerzite v Georgii

CVE-2019-8812: JunDong Xie z tímu Ant-financial Light-Year Security Lab

CVE-2019-8816: Soyeon Park z tímu SSLab z Technickej univerzity v Georgii

CVE-2019-8820: Samuel Groß z tímu Google Project Zero

Ďalšie poďakovanie

boringssl

Poďakovanie za pomoc si zaslúžia Nimrod Aviram z Telavivskej univerzity, Robert Merget z Porúrskej univerzity v Bochume a Juraj Somorovsky z Porúrskej univerzity v Bochume.

CFNetwork

Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.

Jadro

Poďakovanie za pomoc si zaslúžia Daniel Roethlisberger z tímu Swisscom CSIRT a Jann Horn z tímu Google Project Zero.

Safari

Poďakovanie za pomoc si zaslúžia Ron Summers a Ronald van der Meer.

WebKit

Poďakovanie za pomoc si zaslúži Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group.