Om säkerhetsinnehållet i watchOS 6.1.2
I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 6.1.2.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga appkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
watchOS 6.1.2
AnnotationKit
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3877: en anonym forskare i samarbete med Trend Micros Zero Day Initiative
Audio
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3857: Zhuo Liang på Qihoo 360 Vulcan Team
files
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett skadligt program kan godtyckligt skriva över filer
Beskrivning: ett åtkomstproblem åtgärdades genom ytterligare åtkomstbegränsningar.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
ImageIO
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod
Beskrivning: ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2020-3826: Samuel Groß på Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß på Google Project Zero
CVE-2020-3880: Samuel Groß på Google Project Zero
IOAcceleratorFamily
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3837: Brandon Azad på Google Project Zero
IOUSBDeviceFamily
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8836: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc. och Luyi Xing på Indiana University Bloomington
Lades till 22 juni 2020
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2020-3875: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program med skadligt innehåll kan ta reda på schemat för kernelminnet
Beskrivning: Ett problem med åtkomst åtgärdades genom förbättrad minneshantering.
CVE-2020-3836: Brandon Azad på Google Project Zero
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan läsa det begränsade minnet
Beskrivning: Ett problem med minnesinitiering åtgärdades genom förbättrad minneshantering.
CVE-2020-3872: Haakon Garseg Mørk på Cognite och Cim Stordal på Cognite
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2020-3842: Ned Williamson i samarbete med Google Project Zero
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: ett minnesfel åtgärdades genom förbättrad tillståndshantering.
CVE-2020-3834: Xiaolong Bai och Min (Spark) Zheng på Alibaba Inc., Luyi Xing på Indiana University Bloomington
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: en app kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3860: Proteas på Qihoo 360 Nirvan Team
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett skadligt program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2020-3853: Brandon Azad på Google Project Zero
libxml2
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till en oväntad programavslutning eller körning av opålitlig kod
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad storleksvalidering.
CVE-2020-3846: Ranier Vilela
libxpc
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2020-3856: Ian Beer på Google Project Zero
libxpc
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan få högre behörighet
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.
CVE-2020-3829: Ian Beer på Google Project Zero
wifivelocityd
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Problemet åtgärdades genom förbättrad behörighetslogik.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Ytterligare tack
IOSurface
Vi vill tacka Liang Chen (@chenliang0817) för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.