Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 6.1
Dátum vydania: 29. októbra 2019
Účty
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Vzdialený útočník môže byť schopný spôsobiť únik pamäte
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2019-8787: Steffen Klee z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
AirDrop
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Prenosy prostredníctvom technológie AirDrop sa môžu v režime Všetci neočakávane akceptovať
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2019-8796: Allison Husain z UC Berkeley
Dátum aktualizovania záznamu: 4. apríla 2020
App Store
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Lokálny útočník sa môže prihlásiť do účtu predtým prihláseného používateľa bez použitia platných prihlasovacích údajov.
Popis: Dochádzalo k problému súvisiacemu s overovaním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Zvuk
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8785: Ian Beer z tímu Google Project Zero
CVE-2019-8797: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
Kontakty
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie kontaktu so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-7152: Oliver Paukstadt zo spoločnosti Thinking Objects GmbH (to.com)
Udalosti súborového systému
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8798: ABC Research s. r. o. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2019-8794: 08Tc3wBB v spolupráci so spoločnosťou SSD Secure Disclosure
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2019-8786: Wen Xu z Technickej univerzity v Georgii, člen tímu Offensive Security Research spoločnosti Microsoft
Dátum aktualizácie záznamu: 18. novembra 2019
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Nedostatočne zabezpečené miesto súvisiace s poškodením pamäte bolo odstránené vylepšením zamykania.
CVE-2019-8829: Jann Horn z tímu Google Project Zero
Dátum pridania záznamu: 8. novembra 2019
libxslt
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Viacero problémov v knižnici libxslt
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2019-8750: Nájdené programom OSS-Fuzz
VoiceOver
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Osoba s fyzickým prístupom k zariadeniu so systémom iOS môže byť schopná získať prístup ku kontaktom zo zamknutej plochy
Popis: Tento problém bol vyriešený obmedzením možností, ktoré sú dostupné v zamknutom zariadení.
CVE-2019-8775: videosdebarraquito
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2019-8764: Sergei Glazunov z tímu Google Project Zero
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2019-8743: zhunki z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group
CVE-2019-8765: Samuel Groß z tímu Google Project Zero
CVE-2019-8766: Nájdené programom OSS-Fuzz
CVE-2019-8808: Nájdené programom OSS-Fuzz
CVE-2019-8811: Soyeon Park z tímu SSLab na Technickej univerzite v Georgii
CVE-2019-8812: JunDong Xie z tímu Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park z tímu SSLab z Technickej univerzity v Georgii
CVE-2019-8820: Samuel Groß z tímu Google Project Zero
Dátum aktualizácie záznamu: 18. novembra 2019
Ďalšie poďakovanie
boringssl
Poďakovanie za pomoc si zaslúžia Nimrod Aviram z Telavivskej univerzity, Robert Merget z Porúrskej univerzity v Bochume a Juraj Somorovsky z Porúrskej univerzity v Bochume.
CFNetwork
Poďakovanie za pomoc si zaslúži Lily Chen zo spoločnosti Google.
Jadro
Poďakovanie za pomoc si zaslúžia Daniel Roethlisberger z tímu Swisscom CSIRT a Jann Horn z tímu Google Project Zero.
Dátum aktualizácie záznamu: 8. novembra 2019
Safari
Poďakovanie za pomoc si zaslúžia Ron Summers a Ronald van der Meer.
Dátum aktualizovania záznamu: 11. februára 2020
WebKit
Poďakovanie za pomoc si zaslúži Zhiyi Zhang z tímu Codesafe Team of Legendsec spoločnosti Qi'anxin Group.