O varnostnih posodobitvah družbe Apple
Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.
Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.
Za več informacij o varnosti obišči stran Varnost izdelkov Apple.
watchOS 6.1.1
Izdan 10. decembra 2019
CallKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: za vzpostavitev klicev, opravljeni s pomočnikom Siri, je morda uporabljen napačen naročniški paket za prenos podatkov v napravah z dvema aktivnim naročniškima paketoma
Opis: pri obdelavi odhodnih klicev, začetih s pomočnikom Siri, je prihajalo do težave z vmesnikom API. Ta težava je odpravljena z izboljšano obdelavo stanja.
CVE-2019-8856: Fabrice TERRANCLE iz podjetja TERRANCLE SARL
CFNetwork
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: napadalec s pravicami za prednostni dostop v omrežju morda lahko obide HSTS za omejeno število domen najvišje ravni, ki v preteklosti niso bile na seznamu za vnaprejšnje nalaganje HSTS
Opis: odpravljena je težava s konfiguracijo, in sicer z dodatnimi omejitvami.
CVE-2019-8834: Rob Sayre (@sayrer)
Vnos je bil dodan 3. februarja 2020
Posredniški strežniki CFNetwork
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko pridobi skrbniške pravice
Opis: ta težava je odpravljena z izboljšanimi pregledi.
CVE-2019-8848: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan
FaceTime
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamernega videoposnetka v aplikaciji FaceTime lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.
CVE-2019-8830: natashenka iz podjetja Google Project Zero
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s pomnilnikom, in sicer z odstranitvijo ranljive kode.
CVE-2019-8833: Ian Beer iz podjetja Google Project Zero
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8828: Cim Stordal iz podjetja Cognite
CVE-2019-8838: Dr Silvio Cesare iz podjetja InfoSect
libexpat
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: razčlenitev zlonamerno ustvarjene datoteke XML lahko povzroči razkritje podatkov uporabnika
Opis: ta težava je odpravljena s posodobitvijo knjižnice expat na različico 2.2.8.
CVE-2019-15903: Joonun Jang
libpcap
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: več težav v knjižnici libpcap
Opis: odpravljenih je več težav s posodobitvijo knjižnice libpcap na različico 1.9.1.
CVE-2019-15161
CVE-2019-15162
CVE-2019-15163
CVE-2019-15164
CVE-2019-15165
Vnos je bil dodan 4. aprila 2020
Varnost
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8832: Insu Yun iz skupine SSLab na inštitutu Georgia Tech
WebKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2019-8844: William Bowling (@wcbowling)
Dodatne zahvale
Računi
Za pomoč se zahvaljujemo Allison Husain z univerze UC Berkeley, Kishanu Bagariji (KishanBagaria.com) in Tomu Snellingu z univerze Loughborough University.
Vnos je bil posodobljen 4. aprila 2020
Osnovni podatki
Za pomoč se zahvaljujemo natashenki iz podjetja Google Project Zero.