O varnostni vsebini sistema watchOS 6,2

Ta dokument opisuje varnostno vsebino sistema watchOS 6,2.

O varnostnih posodobitvah družbe Apple

Apple zaradi zaščite svojih uporabnikov varnostne težave razkrije, opiše ali potrdi šele, ko je izvedena preiskava in so na voljo popravki ali izdaje. Najnovejše izdaje so navedene na strani z varnostnimi posodobitvami družbe Apple.

Če je mogoče, so za poimenovanje ranljivosti v varnostnih dokumentih družbe Apple uporabljeni identifikatorji CVE.

Za več informacij o varnosti obišči stran Varnost izdelkov Apple.

watchOS 6,2

ActionKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko uporabi odjemalca SSH, ki ga zagotavljajo zasebna ogrodja

Opis: ta težava je odpravljena z novo pravico.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

AppleMobileFileIntegrity

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko pridobi poljubne pravice

Opis: ta težava je odpravljena z izboljšanimi pregledi.

CVE-2020-3883: Linus Henze (pinauten.de)

CoreFoundation

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: zlonamerna aplikacija morda lahko poviša pravice

Opis: prihajalo je do težave z dovoljenji. Ta težava je odpravljena z izboljšanim preverjanjem veljavnosti dovoljenj.

CVE-2020-3913: Timo Christ iz podjetja Avira Operations GmbH & Co. KG

Ikone

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: zlonamerna aplikacija morda lahko prepozna druge aplikacije, ki jih je namestil uporabnik

Opis: ta težava je odpravljena z izboljšano obdelavo predpomnilnikov ikon.

CVE-2020-9773: Chilik Tamir iz podjetja Zimperium zLabs

Ikone

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: pri nastavitvi nadomestne ikone aplikacije je lahko razkrita fotografija brez zahteve za dovoljenje za dostop do fotografij

Opis: odpravljena je težava z dodatnimi omejitvami peskovnika.

CVE-2020-3916: Vitaliy Alekseev (@villy21)

Obdelava slik

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko izvede poljubno kodo s sistemskimi pravicami

Opis: odpravljena je težava z uporabo po poteku brezplačne različice, in sicer z izboljšanim upravljanjem pomnilnika.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

IOHIDFamily

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3919: anonimni raziskovalec

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: aplikacija morda lahko prebere omejeni pomnilnik

Opis: odpravljena je težava z inicializacijo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3914: pattern-f (@pattern_F_) iz podjetja WaCai

Jedro

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: lokalna aplikacija morda lahko izvede poljubno kodo s pravicami jedra

Opis: odpravljenih je več težav s poškodbo pomnilnika, in sicer z izboljšanim upravljanjem stanja.

CVE-2020-9785: Proteas iz skupine Qihoo 360 Nirvan

libxml2

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: več težav v knjižnici libxml2

Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem mej.

CVE-2020-3909: LGTM.com

CVE-2020-3911: našel OSS-Fuzz

libxml2

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: več težav v knjižnici libxml2

Opis: odpravljena je preplavitev medpomnilnika z izboljšanim preverjanjem velikosti.

CVE-2020-3910: LGTM.com

Messages (Sporočila)

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: oseba s fizičnim dostopom do zaklenjene naprave s sistemom iOS morda lahko odgovori na sporočila, tudi če so odgovori onemogočeni

Opis: odpravljena je težava z logiko, in sicer z izboljšanim upravljanjem stanja.

CVE-2020-3891: Peter Scott

WebKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava s poškodbo pomnilnika, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3895: grigoritchy

CVE-2020-3900: Dongzhuo Zhao v sodelovanju z ADLab podjetja Venustech

WebKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: obdelava zlonamerno oblikovane spletne vsebine lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

WebKit

Na voljo za: Apple Watch Series 1 in novejše različice

Vpliv: oddaljeni napadalec lahko povzroči izvedbo poljubne kode

Opis: odpravljena je težava z nejasnimi vrstami, in sicer z izboljšano obdelavo pomnilnika.

CVE-2020-3897: Brendan Draper (@6r3nd4n) v sodelovanju s člani programa Trend Micro’s Zero Day Initiative

Dodatne zahvale

FontParser

Za pomoč se zahvaljujemo Matthewu Dentonu iz podjetja Google Chrome.

Jedro

Za pomoč se zahvaljujemo Siguzi.

LinkPresentation

Za pomoč se zahvaljujemo Travisu.

Telefon

Za pomoč se zahvaljujemo Yiğitu Canu YILMAZ (@yilmazcanyigit).

rapportd

Za pomoč se zahvaljujemo Alexandru Heinrichu (@Sn0wfreeze) z univerze Technische Universität Darmstadt.

WebKit

Za pomoč se zahvaljujemo Samuelu Großu iz podjetja Google Project Zero in uporabniku hearmen.