O varnostnih posodobitvah družbe Apple
Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.
Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.
Za več informacij o varnosti obišči stran Varnost izdelkov Apple.
watchOS 6.1
Izdan 29. oktobra 2019
Računi
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: oddaljeni napadalec lahko povzroči puščanje pomnilnika
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8787: Steffen Klee iz skupine Secure Mobile Networking Lab na univerzi Technische Universität Darmstadt
AirDrop
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: prenosi v storitvi AirDrop so lahko nepričakovano sprejeti v načinu »Everyone« (Vsi)
Opis: odpravljena je težava z logiko, in sicer z izboljšanim preverjanjem.
CVE-2019-8796: Allison Husain z univerze UC Berkeley
Vnos je bil posodobljen 4. aprila 2020
App Store
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: lokalni napadalec se lahko prijavi v račun že prijavljenega uporabnika brez veljavnih poverilnic.
Opis: odpravljena je težava s preverjanjem pristnosti, in sicer z izboljšanim upravljanjem stanja.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Zvok
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8785: Ian Beer iz podjetja Google Project Zero
CVE-2019-8797: 08Tc3wBB v sodelovanju s SSD Secure Disclosure
Contacts (Stiki)
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamernega stika lahko povzroči uporabo lažnega uporabniškega vmesnika
Opis: odpravljena je težava z nedoslednim uporabniškim vmesnikom, in sicer z izboljšanim upravljanjem stanja.
CVE-2017-7152: Oliver Paukstadt iz podjetja Thinking Objects GmbH (to.com)
Dogodki datotečnega sistema
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8798: ABC Research s.r.o. v sodelovanju s člani programa Trend Micro's Zero Day Initiative
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko prebere omejeni pomnilnik
Opis: odpravljena je težava s preverjanjem veljavnosti, in sicer z izboljšanim čiščenjem vnosa.
CVE-2019-8794: 08Tc3wBB v sodelovanju s SSD Secure Disclosure
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8786: Wen Xu z inštituta Georgia Tech, pripravnik v programu Microsoft Offensive Security Research
Vnos je bil posodobljen 18. novembra 2019
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je ranljivost zaradi poškodbe pomnilnika, in sicer z izboljšanim zaklepanjem.
CVE-2019-8829: Jann Horn iz podjetja Google Project Zero
Vnos je bil dodan 8. novembra 2019
libxslt
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: več težav v knjižnici libxslt
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8750: našel OSS-Fuzz
VoiceOver
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: oseba s fizičnim dostopom do naprave s sistemom iOS morda lahko dostopa do stikov na zaklenjenem zaslonu
Opis: ta težava je odpravljena z omejitvijo možnosti, ki so na voljo na zaklenjenem zaslonu.
CVE-2019-8775: videosdebarraquito
WebKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči splošno križno izvajanje skriptov
Opis: odpravljena je težava z logiko, in sicer z izboljšanim upravljanjem stanja.
CVE-2019-8764: Sergei Glazunov iz podjetja Google Project Zero
WebKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8743: zhunki iz skupine Codesafe Team podjetja Legendsec, Qi'anxin Group
CVE-2019-8765: Samuel Groß iz podjetja Google Project Zero
CVE-2019-8766: našel OSS-Fuzz
CVE-2019-8808: našel OSS-Fuzz
CVE-2019-8811: Soyeon Park iz skupine SSLab na inštitutu Georgia Tech
CVE-2019-8812: JunDong Xie iz podjetja Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park iz skupine SSLab na inštitutu Georgia Tech
CVE-2019-8820: Samuel Groß iz podjetja Google Project Zero
Vnos je bil posodobljen 18. novembra 2019
Dodatne zahvale
boringssl
Za pomoč se zahvaljujemo Nimrodu Aviramu z univerze Tel Aviv University, Robertu Mergetu z univerze Ruhr University Bochum in Juraju Somorovskyju z univerze Ruhr University Bochum.
CFNetwork
Za pomoč se zahvaljujemo Lily Chen iz Googla.
Jedro
Za pomoč se zahvaljujemo Danielu Roethlisbergerju iz podjetja Swisscom CSIRT in Jannu Hornu iz podjetja Google Project Zero.
Vnos je bil posodobljen 8. novembra 2019
Safari
Za pomoč se zahvaljujemo Ronu Summersu in Ronaldu van der Meeru.
Vnos je bil posodobljen 11. februarja 2020
WebKit
Za pomoč se zahvaljujemo Zhiyi Zhang iz skupine Codesafe Team podjetja Legendsec, at Qi'anxin Group.