O varnostni vsebini sistema watchOS 6,2
Ta dokument opisuje varnostno vsebino sistema watchOS 6,2.
O varnostnih posodobitvah družbe Apple
Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.
Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.
Za več informacij o varnosti obišči stran Varnost izdelkov Apple.
watchOS 6,2
ActionKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko uporabi odjemalca SSH, ki ga zagotavljajo zasebna ogrodja
Opis: ta težava je odpravljena z novo pravico.
CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)
AppleMobileFileIntegrity
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko pridobi poljubne pravice
Opis: ta težava je odpravljena z izboljšanimi pregledi.
CVE-2020-3883: Linus Henze (pinauten.de)
CoreFoundation
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: zlonamerna aplikacija morda lahko poviša pravice
Opis: prihajalo je do težave z dovoljenji. Ta težava je odpravljena z izboljšanim preverjanjem veljavnosti dovoljenj.
CVE-2020-3913: Timo Christ iz podjetja Avira Operations GmbH & Co. KG
Ikone
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: zlonamerna aplikacija morda lahko prepozna druge aplikacije, ki jih je namestil uporabnik
Opis: ta težava je odpravljena z izboljšano obdelavo predpomnilnikov ikon.
CVE-2020-9773: Chilik Tamir iz podjetja Zimperium zLabs
Ikone
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: pri nastavitvi nadomestne ikone aplikacije je lahko razkrita fotografija brez zahteve za dovoljenje za dostop do fotografij
Opis: odpravljena je težava z dodatnimi omejitvami peskovnika.
CVE-2020-3916: Vitaliy Alekseev (@villy21)
Obdelava slik
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami
Opis: odpravljena je težava z uporabo po poteku brezplačne različice, in sicer z izboljšanim upravljanjem pomnilnika.
CVE-2020-9768: Mohamed Ghannam (@_simo36)
IOHIDFamily
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3919: anonimni raziskovalec
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: aplikacija morda lahko prebere omejeni pomnilnik
Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3914: pattern-f (@pattern_F_) iz podjetja WaCai
Jedro
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s pravicami jedra
Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.
CVE-2020-9785: Proteas iz skupine Qihoo 360 Nirvan
libxml2
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: več težav v knjižnici libxml2
Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem mej.
CVE-2020-3909: LGTM.com
CVE-2020-3911: našel OSS-Fuzz
libxml2
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: več težav v knjižnici libxml2
Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem velikosti.
CVE-2020-3910: LGTM.com
Messages (Sporočila)
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: oseba s fizičnim dostopom do zaklenjene naprave s sistemom iOS morda lahko odgovori na sporočila, tudi če so odgovori onemogočeni
Opis: odpravljena je težava z logiko, in sicer z izboljšanim upravljanjem stanja.
CVE-2020-3891: Peter Scott
WebKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3895: grigoritchy
CVE-2020-3900: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech
WebKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3901: Benjamin Randazzo (@____benjamin)
WebKit
Na voljo za: Apple Watch Series 1 in novejše različice
Vpliv: oddaljeni napadalec lahko povzroči izvedbo poljubne kode
Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.
CVE-2020-3897: Brendan Draper (@6r3nd4n) v sodelovanju s člani programa Trend Micro’s Zero Day Initiative
Dodatne zahvale
FontParser
Za pomoč se zahvaljujemo Matthewu Dentonu iz podjetja Google Chrome.
Jedro
Za pomoč se zahvaljujemo Siguzi.
LinkPresentation
Za pomoč se zahvaljujemo Travisu.
Telefon
Za pomoč se zahvaljujemo Yiğitu Canu YILMAZ (@yilmazcanyigit).
rapportd
Za pomoč se zahvaljujemo Alexandru Heinrichu (@Sn0wfreeze) z univerze Technische Universität Darmstadt.
WebKit
Za pomoč se zahvaljujemo Samuelu Großu iz podjetja Google Project Zero in uporabniku hearmen.
Informacije o izdelkih, ki jih ni izdelala družba Apple, ali neodvisna spletna mesta, ki jih družba Apple ne nadzoruje ali preizkuša, so na voljo brez priporočil ali podpore. Družba Apple ne prevzema nobene odgovornosti glede izbora, delovanja ali uporabe spletnih mest ali izdelkov tretjih oseb. Družba Apple ne jamči za natančnost ali zanesljivost spletnih mest tretjih oseb. Obrni se na dobavitelja, če želiš dodatne infromacije.