O varnostni vsebini sistema watchOS 6.1.2

Ta dokument opisuje varnostno vsebino sistema watchOS 6.1.2.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

watchOS 6.1.2

Izdan 28. januarja 2020

AnnotationKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: oddaljeni napadalec lahko povzroči nepričakovano zaustavitev aplikacije ali izvedbo poljubne kode

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.

CVE-2020-3877: anonimni raziskovalec v sodelovanju s člani programa Trend Micro's Zero Day Initiative

Zvok

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3857: Zhuo Liang iz ekipe podjetja Qihoo 360 Vulcan

ImageIO

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovane slike lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem vnosa.

CVE-2020-3826: Samuel Groß iz podjetja Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß iz podjetja Google Project Zero

CVE-2020-3880: Samuel Groß iz podjetja Google Project Zero

Vnos je bil posodobljen 4. aprila 2020

IOAcceleratorFamily

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3837: Brandon Azad iz podjetja Google Project Zero

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljena je težava s preverjanjem veljavnosti, in sicer z izboljšanim čiščenjem vnosa.

CVE-2020-3875: Brandon Azad iz podjetja Google Project Zero

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: zlonamerna aplikacija morda lahko določi razporeditev vsebine pomnilnika jedra

Opis: odpravljena je težava z dostopom, in sicer z izboljšanim upravljanjem pomnilnika.

CVE-2020-3836: Brandon Azad iz podjetja Google Project Zero

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3872: Haakon Garseg Mørk iz podjetja Cognite in Cim Stordal iz odjetja Cognite

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3842: Ned Williamson v sodelovanju s podjetjem Google Project Zero

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.

CVE-2020-3834: Xiaolong Bai in Min (Spark) Zheng iz podjetja Alibaba Inc ter Luyi Xing z univerze Indiana University Bloomington

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.

CVE-2020-3860: Proteas iz skupine Qihoo 360 Nirvan

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3853: Brandon Azad iz podjetja Google Project Zero

libxml2

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovane datoteke XML lahko povzroči nepričakovano zaustavitev aplikacije ali izvedbo poljubne kode

Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem velikosti.

CVE-2020-3846: Ranier Vilela

Vnos je bil dodan 29. januarja 2020

libxpc

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovanega niza lahko povzroči poškodbo konice

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšanim preverjanjem vnosa.

CVE-2020-3856: Ian Beer iz podjetja Google Project Zero

libxpc

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko pridobi skrbniške pravice

Opis: odpravljena je težava z branjem zunaj omejitev, in sicer z izboljšanim preverjanjem mej.

CVE-2020-3829: Ian Beer iz podjetja Google Project Zero

wifivelocityd

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: ta težava je odpravljena z izboljšano logiko dovoljenj.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Dodatne zahvale

IOSurface

Za pomoč se zahvaljujemo Liang Chen (@chenliang0817).

Informacije o izdelkih, ki jih ni izdelala družba Apple, ali neodvisna spletna mesta, ki jih družba Apple ne nadzoruje ali preizkuša, so na voljo brez priporočil ali podpore. Družba Apple ne prevzema nobene odgovornosti glede izbora, delovanja ali uporabe spletnih mest ali izdelkov tretjih oseb. Družba Apple ne jamči za natančnost ali zanesljivost spletnih mest tretjih oseb. Obrni se na dobavitelja, če želiš dodatne infromacije.

Datum objave: