Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple.
watchOS 6.2.5
Dátum vydania: 18. mája 2020
Účty
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9827: Jannik Lorenz z tímu SEEMOO na Technickej univerzite v Darmstadte
AppleMobileFileIntegrity
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Škodlivá aplikácia môže na základe interakcií so systémovými procesmi získať prístup k súkromným informáciám a vykonávať privilegované akcie
Popis: Dochádzalo k problému s oprávneniami, ktorý bol vyriešený vylepšením syntaktickej analýzy.
CVE-2020-9842: Linus Henze (pinauten.de)
Zvuk
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9815: Yu Zhou (@yuzhou6666) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Zvuk
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie audiosúboru so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9791: Yu Zhou (@yuzhou6666) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CoreText
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie textovej správy so škodlivým kódom môže viesť k odmietnutiu služby aplikácie
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2020-9829: Aaron Perris (@aaronp613), anonymný výskumník, anonymný výskumník, Carlos S Tech, Sam Menzies z tímu Sam’s Lounge, Sufiyan Gouri z Lovely Professional University v Indii, Suleman Hasan Rathor z tímu Arabic-Classroom.com
FontParser
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Otvorenie PDF súboru so škodlivým kódom môže viesť k neočakávanému ukončeniu apky alebo spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9816: Peter Nguyen Vu Hoang z tímu STAR Labs v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
ImageIO
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-3878: Samuel Groß z tímu Google Project Zero
ImageIO
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9789: Wenchao Li z tímu VARAS@IIE
CVE-2020-9790: Xingwei Lin z tímu Light-Year Security Lab spoločnosti Ant-Financial
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9821: Xinru Chi a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte inej aplikácie
Popis: Dochádzalo k problému súvisiacemu s únikom informácií, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2020-9797: Anonymný výskumník
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením celočíselných hodnôt, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9852: Tao Huang a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2020-9795: Zhuo Liang z tímu Vulcan Team spoločnosti Qihoo 360
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia môže byť schopná spôsobiť neočakávané ukončenie systému alebo zapisovať do pamäte jadra
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9808: Xinru Chi a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9811: Tielei Wang z tímu Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s logikou, ktorý spôsoboval poškodenie pamäte. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2020-9813: Xinru Chi z tímu Pangu Lab
CVE-2020-9814: Xinru Chi a Tielei Wang z tímu Pangu Lab
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Dochádzalo k problému s únikom informácií, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia so škodlivým kódom môže byť schopná prepísať ľubovoľné súbory
Popis: Dochádzalo k problému so spracovaním ciest, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9994: Apple
Dátum pridania záznamu: 21. septembra 2020
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9819: ZecOps.com
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie e-mailovej správy so škodlivým kódom môže viesť k neočakávanej zmene pamäte alebo ukončeniu aplikácie
Popis: Dochádzalo k problému so zápisom dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9818: ZecOps.com
rsync
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Vzdialený útočník môže byť schopný prepísať existujúce súbory
Popis: Pri spracovávaní symbolických odkazov dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania symbolických odkazov.
CVE-2014-9512: gaojianfeng
Dátum pridania záznamu: 28. júla 2020
SQLite
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Škodlivá aplikácia môže spôsobiť odmietnutie služby alebo potenciálne sprístupniť obsah pamäte
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2020-9794
Systémové nastavenia
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením spracovania stavu.
CVE-2020-9839: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9805: Anonymný výskumník
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9802: Samuel Groß z tímu Google Project Zero
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Vzdialený útočník môže byť schopný spôsobiť spustenie ľubovoľného kódu
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením obmedzení.
CVE-2020-9850: @jinmo123, @setuid0x0_ a @insu_yun_en z tímu @SSLab_Gatech v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k útoku využívajúcemu skriptovanie medzi lokalitami (XSS)
Popis: Dochádzalo k problému s overovaním vstupu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2020-9803: Wen Xu z tímu SSLab na univerzite Georgia Tech
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením správy stavu.
CVE-2020-9806: Wen Xu z tímu SSLab na univerzite Georgia Tech
CVE-2020-9807: Wen Xu z tímu SSLab na univerzite Georgia Tech
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2020-9800: Brendan Draper (@6r3nd4n) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebRTC
Dostupné pre: Apple Watch Series 1 a novšie
Dosah: Spracovanie webového obsahu so škodlivým kódom môže mať za následok odhalenie operačnej pamäte
Popis: Dochádzalo k problému s prístupom, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2019-20503: natashenka z tímu Google Project Zero
Ďalšie poďakovanie
CoreText
Poďakovanie za pomoc si zaslúžia Jiska Classen (@naehrdine) a Dennis Heinze (@ttdennis) z tímu Secure Mobile Networking Lab.
ImageIO
Poďakovanie za pomoc si zaslúži Lei Sun.
IOHIDFamily
Poďakovanie za pomoc si zaslúži Andy Davis zo spoločnosti NCC Group.
Jadro
Poďakovanie za pomoc si zaslúži Brandon Azad z tímu Google Project Zero.
Safari
Poďakovanie za pomoc si zaslúži Luke Walker z Manchesterskej metropolitnej univerzity.
WebKit
Poďakovanie za pomoc si zaslúži Aidan Dunlap z Texaskej univerzity v Austine.