O varnostnih posodobitvah družbe Apple
Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.
Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.
Za več informacij o varnosti obišči stran Varnost izdelkov Apple.
watchOS 6
Izdan 19. septembra 2019
Zvok
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane zvočne datoteke lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.
CVE-2019-8706: Yu Zhou iz podjetja Ant-financial Light-Year Security Lab
Vnos je bil dodan 29. oktobra 2019
Zvok
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: pri obdelavi zlonamerno oblikovane zvočne datoteke je lahko razkrit omejen pomnilnik
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8850: anonimno sodelovanje v okviru programa Trend Micro Zero Day Initiative
Vnos je bil dodan 4. decembra 2019
CFNetwork
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči napad s križnim izvajanjem skriptov
Opis: ta težava je odpravljena z izboljšanimi pregledi.
CVE-2019-8753: Łukasz Pilorz iz podjetja Standard Chartered GBS Poland
Vnos je bil dodan 29. oktobra 2019
CoreAudio
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovanega filma lahko povzroči razkritje pomnilnika postopka
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem.
CVE-2019-8705: riusksk iz podjetja VulWar Corp v sodelovanju s člani programa Trend Micro's Zero Day Initiative
Vnos je bil dodan 8. oktobra 2019
CoreCrypto
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava velikega vnosa lahko povzroči zavrnitev storitve
Opis: odpravljena je težava z zavrnitvijo storitve, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8741: Nicky Mouha iz podjetja NIST
Vnos je bil dodan 29. oktobra 2019
Temelj
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: oddaljeni napadalec lahko povzroči nepričakovano zaustavitev aplikacije ali izvedbo poljubne kode
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8746: Natalie Silvanovich in Samuel Groß iz podjetja Google Project Zero
Vnos je bil posodobljen 29. oktobra 2019 in 11. februarja 2020
IOUSBDeviceFamily
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8718: Joshua Hill in Sem Voigtländer
Vnos je bil dodan 29. oktobra 2019
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Vnos je bil dodan 29. oktobra 2019
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: lokalna aplikacija morda lahko prebere obstojne prepoznavne značilnosti računa
Opis: ta težava je odpravljena z izboljšano logiko.
CVE-2019-8809: Apple
Vnos je bil dodan 29. oktobra 2019
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Vnos je bil dodan 29. oktobra 2019
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: zlonamerna aplikacija morda lahko določi razporeditev vsebine pomnilnika jedra
Opis: pri obdelavi paketov IPv6 je prišlo do poškodbe pomnilnika. Ta težava je odpravljena z izboljšanim upravljanjem pomnilnika.
CVE-2019-8744: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan
Vnos je bil dodan 29. oktobra 2019
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Vnos je bil dodan 29. oktobra 2019
Jedro
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8717: Jann Horn iz podjetja Google Project Zero
Vnos je bil dodan 8. oktobra 2019
libxml2
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: več težav v knjižnici libxml2
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8749: našel OSS-Fuzz
CVE-2019-8756: našel OSS-Fuzz
Vnos je bil dodan 8. oktobra 2019
mDNSResponder
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: napadalec v fizični bližini morda lahko pasivno opazuje imena naprav pri komunikaciji AWDL
Opis: ta težava je odpravljena z zamenjavo imen naprav z naključnim identifikatorjem.
CVE-2019-8799: David Kreitschmann in Milan Stute iz skupine Secure Mobile Networking Lab na univerzi Technische Universität Darmstadt
Vnos je bil dodan 29. oktobra 2019
UIFoundation
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane besedilne datoteke lahko povzroči izvedbo poljubne kode
Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem mej.
CVE-2019-8745: riusksk iz podjetja VulWar Corp v sodelovanju s člani programa Trend Micro's Zero Day Initiative
Vnos je bil dodan 8. oktobra 2019
UIFoundation
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8831: riusksk iz podjetja VulWar Corp v sodelovanju s člani programa Trend Micro's Zero Day Initiative
Vnos je bil dodan 18. novembra 2019
WebKit
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8710: našel OSS-Fuzz
CVE-2019-8728: Junho Jang iz skupine LINE Security in Hanul Choi iz podjetja ABLY Corporation
CVE-2019-8734: našel OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech
CVE-2019-8752: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech
CVE-2019-8773: našel OSS-Fuzz
Vnos je bil dodan 29. oktobra 2019
Wi-Fi
Na voljo za: Apple Watch Series 3 in novejše različice
Vpliv: naprava je lahko pasivno spremljana prek njenega naslova MAC omrežja Wi-Fi
Opis: težava z zasebnostjo uporabnikov je odpravljena z odstranitvijo naslova MAC za oddajanje.
CVE-2019-8854: Ta-Lun Yen iz podjetja UCCU Hacker, FuriousMacTeam s Pomorske akademije ZDA in organizacija Mitre Cooperation
Vnos je bil dodan 4. decembra 2019
Dodatne zahvale
Zvok
Za pomoč se zahvaljujemo uporabniku riusksk iz podjetja VulWar Corp, ki je sodeloval s člani programa Trend Micro's Zero Day Initiative.
Vnos je bil dodan 29. oktobra 2019
boringssl
Za pomoč se zahvaljujemo Thijsu Alkemadu (@xnyhps) iz podjetja Computest.
Vnos je bil dodan 8. oktobra 2019
HomeKit
Za pomoč se zahvaljujemo Tiani Zhang.
Vnos je bil dodan 29. oktobra 2019
Jedro
Za pomoč se zahvaljujemo Brandonu Azadu iz podjetja Google Project Zero.
Vnos je bil dodan 29. oktobra 2019
mDNSResponder
Za pomoč se zahvaljujemo Gregorju Langu iz podjetja e.solutions GmbH.
Vnos je bil dodan 29. oktobra 2019
Profili
Za pomoč se zahvaljujemo Eriku Johnsonu s šole Vernon Hills High School in Jamesu Seeleyju (@Code4iOS) iz podjetja Shriver Job Corps.
Vnos je bil dodan 29. oktobra 2019
Safari
Za pomoč se zahvaljujemo Yiğitu Canu YILMAZ (@yilmazcanyigit).
Vnos je bil dodan 29. oktobra 2019 in posodobljen 4. aprila 2020
WebKit
Za pomoč se zahvaljujemo MinJeong Kimu iz podjetja Information Security Lab, univerzi Chungnam National University, JaeCheol Ryouju iz podjetja the Information Security Lab, univerzi Chungnam National University v Južni Koreji in uporabniku cc, ki je sodeloval s člani programa Trend Micro's Zero Day Initiative.
Vnos je bil dodan 29. oktobra 2019