Om säkerhetsinnehållet i watchOS 6.1
I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 6.1.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet.
watchOS 6.1
Konton
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: En fjärrangripare kan läcka minne
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2019-8787: Steffen Klee på Secure Mobile Networking Lab vid Technische Universität Darmstadt
AirDrop
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: AirDrop-överföringar kan oväntat godkännas i läget Alla
Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.
CVE-2019-8796: Allison Husain på UC Berkeley
App Store
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: En lokal angripare kan logga in på ett konto utan tillgång till giltiga inloggningsuppgifter, om användaren tidigare varit inloggad.
Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Ljud
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8785: Ian Beer på Google Project Zero
CVE-2019-8797: 08Tc3wBB i samarbete med SSD Secure Disclosure
Kontakter
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Bearbetning av en skadlig kontakt kan leda till förfalskning av användargränssnitt
Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.
CVE-2017-7152: Oliver Paukstadt på Thinking Objects GmbH (to.com)
Filsystemhändelser
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med systembehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8798: ABC Research s.r.o. i samarbete med Trend Micro's Zero Day Initiative
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program utan rättigheter kan läsa det begränsade minnet
Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.
CVE-2019-8794: 08Tc3wBB i samarbete med SSD Secure Disclosure
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2019-8786: Wen Xu på Georgia Tech, Microsoft Offensive Security Research Intern
Kernel
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Ett program kan köra opålitlig kod med kernelbehörighet
Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.
CVE-2019-8829: Jann Horn på Google Project Zero
libxslt
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Flera problem i libxslt
Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.
CVE-2019-8750: hittad av OSS-Fuzz
VoiceOver
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: En person med fysisk åtkomst till en iOS-enhet kan komma åt kontakter från låsskärmen
Beskrivning: Problemet åtgärdades genom att begränsa tillgängliga alternativ på en låst enhet.
CVE-2019-8775: videosdebarraquito
WebKit
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till universell skriptkörning över flera sajter
Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.
CVE-2019-8764: Sergei Glazunov på Google Project Zero
WebKit
Tillgängligt för: Apple Watch Series 1 och senare
Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2019-8743: zhunki från Codesafe Team of Legendsec på Qi'anxin Group
CVE-2019-8765: Samuel Groß på Google Project Zero
CVE-2019-8766: hittad av OSS-Fuzz
CVE-2019-8808: hittades av OSS-Fuzz
CVE-2019-8811: Soyeon Park från SSLab vid Georgia Tech
CVE-2019-8812: JunDong Xie på Ant-financial Light-Year Security Lab
CVE-2019-8816: Soyeon Park från SSLab vid Georgia Tech
CVE-2019-8820: Samuel Groß från Google Project Zero
Ytterligare tack
boringssl
Vi vill tacka Nimrod Aviram vid Tel Aviv University, Robert Merget vid Ruhr University Bochum, Juraj Somorovsky vid Ruhr University Bochum för hjälpen.
CFNetwork
Vi vill tacka Lily Chen på Google för hjälpen.
Kernel
Vi vill tacka Daniel Roethlisberger på Swisscom CSIRT och Jann Horn på Google Project Zero för hjälpen.
Safari
Vi vill tacka Ron Summers och Ronald van der Meer för hjälpen.
WebKit
Vi vill tacka Zhiyi Zhang från Codesafe Team på Legendsec inom Qi'anxin Group för hjälpen.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.