O varnostni vsebini sistema watchOS 6.1

Ta dokument opisuje varnostno vsebino sistema watchOS 6.1.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

watchOS 6.1

Računi

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: oddaljeni napadalec lahko povzroči puščanje pomnilnika

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.

CVE-2019-8787: Steffen Klee iz skupine Secure Mobile Networking Lab na univerzi Technische Universität Darmstadt

AirDrop

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: prenosi v storitvi AirDrop so lahko nepričakovano sprejeti v načinu »Everyone« (Vsi)

Opis: odpravljena je težava z logiko, in sicer z izboljšanim preverjanjem.

CVE-2019-8796: Allison Husain z univerze UC Berkeley

App Store

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: lokalni napadalec se lahko prijavi v račun že prijavljenega uporabnika brez veljavnih poverilnic.

Opis: odpravljena je težava s preverjanjem pristnosti, in sicer z izboljšanim upravljanjem stanja.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleFirmwareUpdateKext

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.

CVE-2019-8747: Mohamed Ghannam (@_simo36)

Zvok

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8785: Ian Beer iz podjetja Google Project Zero

CVE-2019-8797: 08Tc3wBB v sodelovanju s SSD Secure Disclosure

Contacts (Stiki)

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamernega stika lahko povzroči uporabo lažnega uporabniškega vmesnika

Opis: odpravljena je težava z nedoslednim uporabniškim vmesnikom, in sicer z izboljšanim upravljanjem stanja.

CVE-2017-7152: Oliver Paukstadt iz podjetja Thinking Objects GmbH (to.com)

Dogodki datotečnega sistema

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8798: ABC Research s.r.o. v sodelovanju s člani programa Trend Micro's Zero Day Initiative

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljena je težava s preverjanjem veljavnosti, in sicer z izboljšanim čiščenjem vnosa.

CVE-2019-8794: 08Tc3wBB v sodelovanju s SSD Secure Disclosure

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8786: Wen Xu z inštituta Georgia Tech, pripravnik v programu Microsoft Offensive Security Research

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.

CVE-2019-8829: Jann Horn iz podjetja Google Project Zero

libxslt

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: več težav v knjižnici libxslt

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.

CVE-2019-8750: našel OSS-Fuzz

VoiceOver

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: oseba s fizičnim dostopom do naprave s sistemom iOS morda lahko dostopa do stikov na zaklenjenem zaslonu

Opis: ta težava je odpravljena z omejitvijo možnosti, ki so na voljo na zaklenjenem zaslonu.

CVE-2019-8775: videosdebarraquito

WebKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči splošno križno izvajanje skriptov

Opis: odpravljena je težava z logiko, in sicer z izboljšanim upravljanjem stanja.

CVE-2019-8764: Sergei Glazunov iz podjetja Google Project Zero

WebKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2019-8743: zhunki iz skupine Codesafe Team podjetja Legendsec, Qi'anxin Group

CVE-2019-8765: Samuel Groß iz podjetja Google Project Zero

CVE-2019-8766: našel OSS-Fuzz

CVE-2019-8808: našel OSS-Fuzz

CVE-2019-8811: Soyeon Park iz skupine SSLab na inštitutu Georgia Tech

CVE-2019-8812: JunDong Xie iz podjetja Ant-financial Light-Year Security Lab

CVE-2019-8816: Soyeon Park iz skupine SSLab na inštitutu Georgia Tech

CVE-2019-8820: Samuel Groß iz podjetja Google Project Zero

Dodatne zahvale

boringssl

Za pomoč se zahvaljujemo Nimrodu Aviramu z univerze Tel Aviv University, Robertu Mergetu z univerze Ruhr University Bochum in Juraju Somorovskyju z univerze Ruhr University Bochum.

CFNetwork

Za pomoč se zahvaljujemo Lily Chen iz Googla.

Jedro

Za pomoč se zahvaljujemo Danielu Roethlisbergerju iz podjetja Swisscom CSIRT in Jannu Hornu iz podjetja Google Project Zero.

Safari

Za pomoč se zahvaljujemo Ronu Summersu in Ronaldu van der Meeru.

WebKit

Za pomoč se zahvaljujemo Zhiyi Zhang iz skupine Codesafe Team podjetja Legendsec, at Qi'anxin Group.