关于 watchOS 6.2.5 的安全性内容

本文介绍了 watchOS 6.2.5 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。

watchOS 6.2.5

发布于 2020 年 5 月 18 日

帐户

适用于:Apple Watch Series 1 及更新机型

影响:远程攻击者或许能够导致服务遭拒

描述:已通过改进输入验证解决服务遭拒问题。

CVE-2020-9827: Jannik Lorenz of SEEMOO @ TU Darmstadt

AppleMobileFileIntegrity

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序可能会与系统进程进行交互,以访问隐私信息并执行特权操作

描述:已通过改进解析解决授权解析问题。

CVE-2020-9842: Linus Henze (pinauten.de)

音频

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的音频文件可能会导致任意代码执行

描述:已通过改进边界检查解决越界读取问题。

CVE-2020-9815: Yu Zhou (@yuzhou6666) working with Trend Micro Zero Day Initiative

音频

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的音频文件可能会导致任意代码执行

描述:已通过改进输入验证解决越界读取问题。

CVE-2020-9791: Yu Zhou (@yuzhou6666) working with Trend Micro Zero Day Initiative

CoreText

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的文本信息可能会导致应用程序拒绝服务

描述:已通过改进输入清理解决验证问题。

CVE-2020-9829: Aaron Perris (@aaronp613), an anonymous researcher, an anonymous researcher, Carlos S Tech, Sam Menzies of Sam’s Lounge, Sufiyan Gouri of Lovely Professional University, India, Suleman Hasan Rathor of Arabic-Classroom.com

FontParser

适用于:Apple Watch Series 1 及更新机型

影响:打开恶意制作的 PDF 文件可能会导致应用程序意外终止或任意代码执行

描述:已通过改进边界检查解决越界写入问题。

CVE-2020-9816:  Peter Nguyen Vu Hoang of STAR Labs working with Trend Micro Zero Day Initiative

ImageIO

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的图像可能会导致任意代码执行

描述:已通过改进输入验证解决越界读取问题。

CVE-2020-3878: Samuel Groß of Google Project Zero

ImageIO

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的图像可能会导致任意代码执行

描述:已通过改进边界检查解决越界写入问题。

CVE-2020-9789: Wenchao Li of VARAS@IIE

CVE-2020-9790: Xingwei Lin of Ant-financial Light-Year Security Lab

内核

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序或许能够以内核权限执行任意代码

描述:已通过改进状态管理解决内存损坏问题。

CVE-2020-9821: Xinru Chi and Tielei Wang of Pangu Lab

内核

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序或许能够确定其他应用程序的内存布局

描述:已通过移除易受攻击的代码解决信息泄露问题。

CVE-2020-9797: an anonymous researcher

内核

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序或许能够以内核权限执行任意代码

描述:已通过改进输入验证解决整数溢出问题。

CVE-2020-9852: Tao Huang and Tielei Wang of Pangu Lab

内核

适用于:Apple Watch Series 1 及更新机型

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存管理解决“释放后使用”问题。

CVE-2020-9795: Zhuo Liang of Qihoo 360 Vulcan Team

内核

适用于:Apple Watch Series 1 及更新机型

影响:应用程序可能会导致系统意外终止或写入内核内存

描述:已通过改进状态管理解决内存损坏问题。

CVE-2020-9808: Xinru Chi and Tielei Wang of Pangu Lab

内核

适用于:Apple Watch Series 1 及更新机型

影响:本地用户或许能够读取内核内存

描述:已通过改进状态管理解决信息泄露问题。

CVE-2020-9811: Tielei Wang of Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

内核

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序或许能够以内核权限执行任意代码

描述:存在导致内存损坏的逻辑问题。已通过改进状态管理解决这个问题。

CVE-2020-9813: Xinru Chi of Pangu Lab

CVE-2020-9814: Xinru Chi and Tielei Wang of Pangu Lab

内核

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序或许能够确定内核内存布局

描述:已通过改进状态管理解决信息泄露问题。

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

邮件

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的邮件可能会导致堆损坏

描述:已通过改进内存处理解决内存消耗问题。

CVE-2020-9819: ZecOps.com

邮件

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的邮件可能会导致内存意外修改或应用程序终止

描述:已通过改进边界检查解决越界写入问题。

CVE-2020-9818: ZecOps.com

SQLite

适用于:Apple Watch Series 1 及更新机型

影响:恶意应用程序可能会导致服务遭拒或可能会泄露内存内容

描述:已通过改进边界检查解决越界读取问题。

CVE-2020-9794

系统偏好设置

适用于:Apple Watch Series 1 及更新机型

影响:应用程序或许能够获取提升的权限

描述:已通过改进状态处理解决竞态条件问题。

CVE-2020-9839: @jinmo123, @setuid0x0_, and @insu_yun_en of @SSLab_Gatech working with Trend Micro’s Zero Day Initiative

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致通用跨站脚本攻击

描述:已通过改进访问限制解决逻辑问题。

CVE-2020-9805: an anonymous researcher

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进访问限制解决逻辑问题。

CVE-2020-9802: Samuel Groß of Google Project Zero

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:远程攻击者或许能够导致任意代码执行

描述:已通过改进访问限制解决逻辑问题。

CVE-2020-9850: @jinmo123, @setuid0x0_, and @insu_yun_en of @SSLab_Gatech working with Trend Micro’s Zero Day Initiative

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致跨站点脚本攻击

描述:已通过改进输入验证解决输入验证问题。

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进验证解决内存损坏问题。

CVE-2020-9803: Wen Xu of SSLab at Georgia Tech

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进状态管理解决内存损坏问题。

CVE-2020-9806: Wen Xu of SSLab at Georgia Tech

CVE-2020-9807: Wen Xu of SSLab at Georgia Tech

WebKit

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致任意代码执行

描述:已通过改进内存处理解决类型混淆问题。

CVE-2020-9800: Brendan Draper (@6r3nd4n) working with Trend Micro Zero Day Initiative

WebRTC

适用于:Apple Watch Series 1 及更新机型

影响:处理恶意制作的网页内容可能会导致进程内存泄漏

描述:已通过改进内存管理解决访问问题。

CVE-2019-20503: Natalie Silvanovich of Google Project Zero

其他表彰

CoreText

由衷感谢 Secure Mobile Networking Lab 的 Jiska Classen (@naehrdine) 和 Dennis Heinze (@ttdennis) 为我们提供的协助。

ImageIO

由衷感谢 Lei Sun 为我们提供的协助。

IOHIDFamily

由衷感谢 NCC Group 的 Andy Davis 为我们提供的协助。

内核

由衷感谢 Google Project Zero 的 Brandon Azad 为我们提供的协助。

Safari 浏览器

由衷感谢曼彻斯特城市大学的 Luke Walker 为我们提供的协助。

WebKit

由衷感谢德克萨斯州大学奥斯汀分校的 Aidan Dunlap 为我们提供的协助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: