Tietoja watchOS 6.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 6.1:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta.
watchOS 6.1
Tilit
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Etähyökkääjä saattoi pystyä vuotamaan muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.
CVE-2019-8787: Steffen Klee (Secure Mobile Networking Lab, Technische Universität Darmstadt)
AirDrop
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: AirDrop-siirrot voidaan odottamatta hyväksyä Kaikki-tilassa.
Kuvaus: Logiikkaongelma on ratkaistu parantamalla validointia.
CVE-2019-8796: Allison Husain (UC Berkeley)
App Store
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Paikallinen hyökkääjä saattoi pystyä kirjautumaan aiemmin kirjautuneen käyttäjän tilille ilman kelvollisia tunnistetietoja.
Kuvaus: Valtuutusongelma ratkaistiin parantamalla tilanhallintaa.
CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)
AppleFirmwareUpdateKext
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2019-8747: Mohamed Ghannam (@_simo36)
Ääni
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8785: Ian Beer (Google Project Zero)
CVE-2019-8797: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa
Yhteystiedot
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Haitallisen yhteystiedon käsittely saattoi aiheuttaa käyttöliittymän väärentämisen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-7152: Oliver Paukstadt (Thinking Objects GmbH, to.com)
Tiedostojärjestelmän tapahtumat
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8798: ABC Research s.r.o. yhteistyössä Trend Micron Zero Day Initiativen kanssa
Kernel
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2019-8794: 08Tc3wBB yhteistyössä SSD Secure Disclosuren kanssa
Kernel
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8786: Wen Xu (Georgia Tech), Microsoft Offensive Security Researchin harjoittelija
Kernel
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumishaavoittuvuus on korjattu parantamalla lukitsemista.
CVE-2019-8829: Jann Horn (Google Project Zero)
libxslt
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: libxslt:ssä esiintyy useita ongelmia.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2019-8750: ongelman havaitsi OSS-Fuzz
VoiceOver
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, saattoi käyttää yhteystietoja lukitulta näytöltä.
Kuvaus: Ongelma on ratkaistu rajoittamalla lukitussa laitteessa tarjottuja vaihtoehtoja.
CVE-2019-8775: videosdebarraquito
WebKit
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa yleisten sivustojen välisten komentosarjojen suorittamiseen.
Kuvaus: Logiikkaongelma on korjattu parantamalla tilanhallintaa.
CVE-2019-8764: Sergei Glazunov (Google Project Zero)
WebKit
Saatavuus: Apple Watch Series 1 ja uudemmat
Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2019-8743: zhunki (Codesafe Team, Legendsec, Qi'anxin Group)
CVE-2019-8765: Samuel Groß (Google Project Zero)
CVE-2019-8766: ongelman havaitsi OSS-Fuzz
CVE-2019-8808: ongelman havaitsi OSS-Fuzz
CVE-2019-8811: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8812: JunDong Xie (Ant-financial Light-Year Security Lab)
CVE-2019-8816: Soyeon Park (SSLab, Georgia Tech)
CVE-2019-8820: Samuel Groß (Google Project Zero)
Kiitokset
boringssl
Haluamme kiittää Tel Avivin yliopiston Nimrod Aviramia ja Ruhrin yliopiston Bochumin kampuksen Robert Mergetia ja Juraj Somorovskya heidän avustaan.
CFNetwork
Haluamme kiittää Googlen Lily Cheniä hänen avustaan.
Kernel
Haluamme kiittää Daniel Roethlisbergeriä (Swisscom CSIRT) ja Jann Hornia (Google Project Zero) heidän avustaan.
Safari
Haluamme kiittää Ron Summersia ja Ronald van der Meeriä heidän avustaan.
WebKit
Haluamme kiittää Zhiyi Zhangia (Codesafe Team, Legendsec, Qi'anxin Group) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.