אודות תוכני האבטחה של watchOS 6.1.2

מסמך זה מתאר את תוכני האבטחה של watchOS 6.1.2.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. הגרסאות העדכניות רשומות בדף עדכוני אבטחה של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

למידע נוסף בנושא אבטחה, עיינו בדף אבטחת מוצרי Apple.

watchOS 6.1.2

הופץ ב-28 בינואר 2020

AnnotationKit

זמין עבור: Apple Watch Series 1 ואילך

השפעה: תוקף מרוחק עשוי לגרום לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-3877: חוקר אנונימי שעובד עם Zero Day Initiative של Trend Micro

Audio

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3857: ‏ז'ואו ליאנג מ-Qihoo 360 Vulcan Team

files

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה זדונית עלולה להצליח למחוק קבצים שרירותיים

תיאור: בעיית גישה טופלה באמצעות הגבלות גישה משופרות.

CVE-2020-3855: צ'אבה פיצל (‎@theevilbit)

הערך נוסף ב‑19 בינואר 2022

ImageIO

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד תמונה בעלת מבנה זדוני עלול להוביל לביצוע קוד שרירותי

תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.

CVE-2020-3826:‏ סמואל גרוס מ-Google Project Zero

CVE-2020-3870

CVE-2020-3878:‏ סמואל גרוס מ-Google Project Zero

CVE-2020-3880:‏ סמואל גרוס מ-Google Project Zero

הערך עודכן ב-4 באפריל 2020

IOAcceleratorFamily

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3837:‏ ברנדון אזאד מ-Google Project Zero

IOUSBDeviceFamily

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2019-8836: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc.‎ ולו-יי שינג מ-Indiana University Bloomington

הערך נוסף ב‑22 ביוני 2020

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2020-3875:‏ ברנדון אזאד מ-Google Project Zero

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה זדונית עלולה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: בעיית גישה טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2020-3836:‏ ברנדון אזאד מ-Google Project Zero

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אתחול זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3872: הוקון גארסג מורק מ-Cognite וקים סטורדל מ-Cognite

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3842: נד ויליאמסון יחד עם Google Project Zero

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות ניהול מצבים משופר.

CVE-2020-3834: שיאולונג באי ומין ("ספארק") ז'נג מ-Alibaba Inc.‎, לו-יי שינג מאוניברסיטת אינדיאנה בלומינגטון

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-3860: ‏Proteas מ-Qihoo 360 Nirvan Team

Kernel

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.

CVE-2020-3853:‏ ברנדון אזאד מ-Google Project Zero

libxml2

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד קובץ XML בעל מבנה זדוני עלול להוביל לסיום לא צפוי של אפליקציה או לביצוע קוד שרירותי

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2020-3846: ראנייר ויללה

הערך נוסף ב‑29 בינואר 2020

libxpc

זמין עבור: Apple Watch Series 1 ואילך

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל לפגם בזיכרון

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2020-3856:‏ איאן ביר מ-Google Project Zero

libxpc

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה לקבל הרשאות ברמה גבוהה יותר

תיאור: קריאה מחוץ לטווח טופלה באמצעות בדיקת טווח משופרת.

CVE-2020-3829:‏ איאן ביר מ-Google Project Zero

wifivelocityd

זמין עבור: Apple Watch Series 1 ואילך

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: הבעיה טופלה באמצעות שיפור הלוגיקה של ההרשאות.

CVE-2020-3838: דייטון פידירני (‎@_watbulb)

תודות נוספות

IOSurface

ברצוננו להודות לליאנג צ'ן (‎@chenliang0817) על הסיוע.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: 03 בנובמבר 2023