Apie „watchOS 6.1.2“ saugos turinį
Šiame dokumente aprašomas „watchOS 6.1.2“ saugos turinys.
Apie „Apple“ saugos naujinius
Kad apsaugotų savo klientus, „Apple“ neatskleidžia, neaptaria ir nepatvirtina saugos problemų, kol nėra atliktas tyrimas ir pataisos arba leidimai nėra pasiekiami. Naujausi leidimai išvardinti puslapyje „Apple“ saugos naujiniai.
Kai įmanoma, „Apple“ saugos dokumentuose nurodyti pažeidžiamumai pagal CVE-ID.
Jei reikia daugiau informacijos apie saugą, žr. puslapį „Apple“ produktų sauga.
„watchOS 6.1.2“
„AnnotationKit“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: nuotolinis atakuotojas gali turėti galimybę netikėtai išjungti programą arba vykdyti atsitiktinį kodą
Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.
CVE-2020-3877: anoniminis tyrėjas, dirbantis su „Trend Micro's Zero Day Initiative“
Garsas
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama sistemos privilegijas
Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.
CVE-2020-3857: Zhuo Liang iš „Qihoo 360 Vulcan“ komandos
„ImageIO“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: kenkėjiškai sukurto vaizdo apdorojimas gali lemti atsitiktinio kodo vykdymą
Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą įvesties patvirtinimą.
CVE-2020-3826: Samuel Groß iš „Google Project Zero“
CVE-2020-3870
CVE-2020-3878: Samuel Groß iš „Google Project Zero“
CVE-2020-3880: Samuel Groß iš „Google Project Zero“
„IOAcceleratorFamily“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.
CVE-2020-3837: Brandon Azad iš „Google Project Zero“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali turėti galimybę nuskaityti apribotą atmintį
Aprašas: patvirtinimo problema išspręsta naudojant patobulintą įvesties pašalinimą.
CVE-2020-3875: Brandon Azad iš „Google Project Zero“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: kenkėjiška programa gali turėti galimybę nustatyti branduolio atminties išdėstymą
Aprašas: prieigos problema išspręsta naudojant patobulintą atminties valdymą.
CVE-2020-3836: Brandon Azad iš „Google Project Zero“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali turėti galimybę nuskaityti apribotą atmintį
Aprašas: atminties inicijavimo problema išspręsta naudojant patobulintą atminties apdorojimą.
CVE-2020-3872: Haakon Garseg Mørk iš „Cognite“ ir Cim Stordal iš „Cognite“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą atminties apdorojimą.
CVE-2020-3842: Ned Williamson, dirbdamas su „Google Project Zero“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą būsenos valdymą.
CVE-2020-3834: Xiaolong Bai, Min („Spark“) Zheng iš „Alibaba“, ir Luyi Xing iš Indianos universiteto „Bloomington“
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama branduolio privilegijas
Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą įvesties tvirtinimą.
CVE-2020-3860: Proteas iš „Qihoo 360 Nirvan“ komandos
Branduolys
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: kenkėjiška programa gali vykdyti atsitiktinį kodą naudodama sistemos privilegijas
Aprašas: sutrikimo tipo problema išspręsta naudojant patobulintą atminties apdorojimą.
CVE-2020-3853: Brandon Azad iš „Google Project Zero“
„libxml2“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: apdorojant kenkėjiškai sukurtą XML gali būti netikėtai išjungta programa arba vykdomas atsitiktinis kodas
Aprašas: perpildyto buferio problema išspręsta naudojant patobulintą dydžio tvirtinimą.
CVE-2020-3846: Ranier Vilela
„libxpc“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: apdorojant kenkėjiškai sukurtą eilutę gali įvykti didelis gedimas
Aprašas: atminties sugadinimo problema išspręsta naudojant patobulintą įvesties tvirtinimą.
CVE-2020-3856: Ian Beer iš „Google Project Zero“
„libxpc“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali turėti galimybę gauti aukštesnes privilegijas
Aprašas: skaitymo už ribų problema išspręsta naudojant patobulintą ribų tikrinimą.
CVE-2020-3829: Ian Beer iš „Google Project Zero“
„wifivelocityd“
Taikoma: „Apple Watch Series 1“ ir naujesnei versijai
Poveikis: programa gali vykdyti atsitiktinį kodą naudodama sistemos privilegijas
Aprašas: problema išspręsta pagerinus leidimų logiką.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Papildomas atpažinimas
„IOSurface“
Norime pareikšti padėką Liang Chen (@chenliang0817) už jo pagalbą.
Informacija apie gaminius, kuriuos gamina ne „Apple“, arba apie svetaines, kurias valdo arba tikrina ne „Apple“, nėra rekomendacinio arba reklaminio pobūdžio. „Apple“ neprisiima jokios atsakomybės už trečiųjų šalių ir gaminių pasirinkimą, veikimą arba naudojimą. „Apple“ negarantuoja trečiųjų šalių svetainių turinio tikslumo arba patikimumo. Jei reikia papildomos informacijos, kreipkitės į pardavėją.