O varnostni vsebini sistema watchOS 6
Ta dokument opisuje varnostno vsebino sistema watchOS 6.
O varnostnih posodobitvah družbe Apple
Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.
Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.
Za več informacij o varnosti obišči stran Varnost izdelkov Apple.
watchOS 6
Zvok
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane zvočne datoteke lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.
CVE-2019-8706: Yu Zhou iz podjetja Ant-financial Light-Year Security Lab
Zvok
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: pri obdelavi zlonamerno oblikovane zvočne datoteke je lahko razkrit omejen pomnilnik
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8850: anonimno sodelovanje v okviru programa Trend Micro Zero Day Initiative
CFNetwork
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči napad s križnim izvajanjem skriptov
Opis: ta težava je odpravljena z izboljšanimi pregledi.
CVE-2019-8753: Łukasz Pilorz iz podjetja Standard Chartered GBS Poland
CoreAudio
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovanega filma lahko povzroči razkritje pomnilnika postopka
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem.
CVE-2019-8705: riusksk iz podjetja VulWar Corp v sodelovanju s člani programa Trend Micro's Zero Day Initiative
CoreCrypto
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava velikega vnosa lahko povzroči zavrnitev storitve
Opis: odpravljena je težava z zavrnitvijo storitve, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8741: Nicky Mouha iz podjetja NIST
Temelj
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: oddaljeni napadalec lahko povzroči nepričakovano zaustavitev aplikacije ali izvedbo poljubne kode
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8746: Natalie Silvanovich in Samuel Groß iz podjetja Google Project Zero
IOUSBDeviceFamily
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8718: Joshua Hill in Sem Voigtländer
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: lokalna aplikacija morda lahko prebere obstojne prepoznavne značilnosti računa
Opis: ta težava je odpravljena z izboljšano logiko.
CVE-2019-8809: Apple
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: zlonamerna aplikacija morda lahko določi razporeditev vsebine pomnilnika jedra
Opis: pri obdelavi paketov IPv6 je prišlo do poškodbe pomnilnika. Ta težava je odpravljena z izboljšanim upravljanjem pomnilnika.
CVE-2019-8744: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8717: Jann Horn iz podjetja Google Project Zero
libxml2
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: več težav v knjižnici libxml2
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8749: našel OSS-Fuzz
CVE-2019-8756: našel OSS-Fuzz
mDNSResponder
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: napadalec v fizični bližini morda lahko pasivno opazuje imena naprav pri komunikaciji AWDL
Opis: ta težava je odpravljena z zamenjavo imen naprav z naključnim identifikatorjem.
CVE-2019-8799: David Kreitschmann in Milan Stute iz skupine Secure Mobile Networking Lab na univerzi Technische Universität Darmstadt
UIFoundation
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane besedilne datoteke lahko povzroči izvedbo poljubne kode
Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem mej.
CVE-2019-8745: riusksk iz podjetja VulWar Corp v sodelovanju s člani programa Trend Micro's Zero Day Initiative
UIFoundation
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8831: riusksk iz podjetja VulWar Corp v sodelovanju s člani programa Trend Micro's Zero Day Initiative
WebKit
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8710: našel OSS-Fuzz
CVE-2019-8728: Junho Jang iz skupine LINE Security in Hanul Choi iz podjetja ABLY Corporation
CVE-2019-8734: našel OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech
CVE-2019-8752: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech
CVE-2019-8773: našel OSS-Fuzz
Wi-Fi
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: naprava je lahko pasivno spremljana prek njenega naslova MAC omrežja Wi-Fi
Opis: težava z zasebnostjo uporabnikov je odpravljena z odstranitvijo naslova MAC za oddajanje.
CVE-2019-8854: Ta-Lun Yen iz podjetja UCCU Hacker, FuriousMacTeam s Pomorske akademije ZDA in organizacija Mitre Cooperation
Dodatne zahvale
Zvok
Za pomoč se zahvaljujemo uporabniku riusksk iz podjetja VulWar Corp, ki je sodeloval s člani programa Trend Micro's Zero Day Initiative.
boringssl
Za pomoč se zahvaljujemo Thijsu Alkemadu (@xnyhps) iz podjetja Computest.
HomeKit
Za pomoč se zahvaljujemo Tiani Zhang.
Jedro
Za pomoč se zahvaljujemo Brandonu Azadu iz podjetja Google Project Zero.
mDNSResponder
Za pomoč se zahvaljujemo Gregorju Langu iz podjetja e.solutions GmbH.
Profili
Za pomoč se zahvaljujemo Eriku Johnsonu s šole Vernon Hills High School in Jamesu Seeleyju (@Code4iOS) iz podjetja Shriver Job Corps.
Safari
Za pomoč se zahvaljujemo Yiğitu Canu YILMAZ (@yilmazcanyigit).
WebKit
Za pomoč se zahvaljujemo MinJeong Kimu iz podjetja Information Security Lab, univerzi Chungnam National University, JaeCheol Ryouju iz podjetja the Information Security Lab, univerzi Chungnam National University v Južni Koreji in uporabniku cc, ki je sodeloval s člani programa Trend Micro's Zero Day Initiative.
Informacije o izdelkih, ki jih ni izdelala družba Apple, ali neodvisna spletna mesta, ki jih družba Apple ne nadzoruje ali preizkuša, so na voljo brez priporočil ali podpore. Družba Apple ne prevzema nobene odgovornosti glede izbora, delovanja ali uporabe spletnih mest ali izdelkov tretjih oseb. Družba Apple ne jamči za natančnost ali zanesljivost spletnih mest tretjih oseb. Obrni se na dobavitelja, če želiš dodatne infromacije.