Apie „watchOS 6.2“ saugos turinį

Šiame dokumente aprašomas „watchOS 6.2“ saugos turinys.

Apie „Apple“ saugos naujinius

Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai išvardinti puslapyje „Apple“ saugos naujiniai.

Kai įmanoma, „Apple“ saugos dokumentuose nurodyti pažeidžiamumai pagal CVE-ID.

Jei reikia daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.

watchOS 6,2

„ActionKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali turėti galimybę naudotis privačių sistemų pateiktu SSH klientu

Aprašas: ši problema išspręsta naudojant naują teisę.

CVE-2020-3917: Steven Troughton-Smith (@stroughtonsmith)

„AppleMobileFileIntegrity“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali turėti galimybę naudotis teisėmis savavališkai

Aprašas: ši problema išspręsta naudojant patobulintas patikras.

CVE-2020-3883: Linus Henze (pinauten.de)

„CoreFoundation“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiška programa gali turėti galimybę padidinti privilegijas

Aprašas: kyla leidimų problema. Ši problema išspręsta pagerinus leidimo patvirtinimą.

CVE-2020-3913: Timo Christ iš „Avira Operations GmbH & Co. KG“

Piktogramos

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiška programa gali turėti galimybę nustatyti, kokias kitas programas naudotojas įdiegė

Aprašas: problema išspręsta pagerinus piktogramų talpyklų apdorojimą.

CVE-2020-9773: Chilik Tamir iš „Zimperium zLabs“

Piktogramos

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: nustačius alternatyvią programos piktogramą gali būti atskleista nuotrauka nepaprašius leidimo pasiekti nuotraukų

Aprašas: prieigos problema išspręsta naudojant papildomus „sandbox“ apribojimus.

CVE-2020-3916: Vitaliy Alekseev (@villy21)

Vaizdų apdorojimas

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali savavališkai vykdyti kodą naudodama sistemos privilegijas

Aprašas: naudojimo po nemokamos versijos problema išspręsta naudojant patobulintą atminties valdymą.

CVE-2020-9768: Mohamed Ghannam (@_simo36)

„IOHIDFamily“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiška programa gali turėti galimybę savavališkai vykdyti kodą naudodama branduolio privilegijas

Aprašas: atminties inicijavimo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2020-3919: anoniminis tyrėjas

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: programa gali turėti galimybę nuskaityti apribotą atmintį

Aprašas: atminties inicijavimo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2020-3914: „pattern-f“ (@pattern_F_) iš „WaCai“

Branduolys

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiška programa gali turėti galimybę savavališkai vykdyti kodą naudodama branduolio privilegijas

Aprašas: kelios atminties sugadinimo problemos išspręstos naudojant patobulintą būsenos valdymą.

CVE-2020-9785: „Proteas of Qihoo 360 Nirvan“ komanda

„libxml2“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kelios „libxml2“ problemos

Aprašas: perpildyto buferio problema išspręsta naudojant patobulintą ribų tikrinimą.

CVE-2020-3909: LGTM.com

CVE-2020-3911: rado OSS-Fuzz

„libxml2“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kelios „libxml2“ problemos

Aprašas: perpildyto buferio problema išspręsta naudojant patobulintą dydžio tvirtinimą.

CVE-2020-3910: LGTM.com

Pranešimai

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: asmuo, turintis fizinę prieigą prie užrakinto „iOS“ įrenginio, gali atsakyti į pranešimus net tada, kai atsakymai išjungti

Aprašas: logikos problema išspręsta naudojant patobulintą būsenos valdymą.

CVE-2020-3891: Peter Scott

„WebKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiškai sukurto žiniatinklio turinio apdorojimas gali lemti savavališką kodo vykdymą

Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2020-3895: „grigoritchy“

CVE-2020-3900: Dongzhuo Zhao, dirbdamas su ADLab iš „Venustech“

„WebKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: kenkėjiškai sukurto žiniatinklio turinio apdorojimas gali lemti savavališką kodo vykdymą

Aprašas: sutrikimo tipo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2020-3901: Benjamin Randazzo (@____benjamin)

„WebKit“

Taikoma: „Apple Watch Series 1“ ir naujesnei versijai

Poveikis: nuotolinis atakuotojas gali turėti galimybę savavališkai vykdyti kodą

Aprašas: sutrikimo tipo problema išspręsta naudojant patobulintą atminties apdorojimą.

CVE-2020-3897: Brendan Draper (@6r3nd4n), dirbdamas su „Trend Micro’s Zero Day Initiative“

Papildomas atpažinimas

„FontParser“

Norime pareikšti padėką Matthew Denton iš „Google Chrome“ už jo pagalbą.

Branduolys

Norime pareikšti padėką Siguza už jos pagalbą.

„LinkPresentation“

Norime pareikšti padėką Travis už jo pagalbą.

„Phone“ (telefonas)

Norime pareikšti padėką Yiğit Can YILMAZ (@yilmazcanyigit) už jo pagalbą.

„rapportd“

Norime pareikšti padėką Alexander Heinrich (@Sn0wfreeze) iš „Technische Universität Darmstadt“ už jo pagalbą.

„WebKit“

Norime pareikšti padėką Samuel Groß iš „Google Project Zero“ už jo pagalbą.