Meine erste CVE auch noch von Apple ❤️
Passcode
Available for: Apple Watch Series 1 and later
Impact: A partially entered passcode may not clear when the device
goes to sleep
Description: An issue existed where partially entered passcodes may
not clear when the device went to sleep. This issue was addressed by
clearing the passcode when a locked device sleeps.
CVE-2019-8548: Tobias Sachs
Proof: About the security content of watchOS 5.2
TL;DR Für diesen Bug hat Apple ganze 5 Monate Zeit benötigt. Später ging alles ganz schnell nach der ersten Mail von Apple.
Am 11. März erreichte mich die Mail von Apple Twitter am 27. März wurde WatchOS 5.2 veröffentlicht.
Bis heute sehe ich den ganzen Vorgang aber nicht im bugreporter von Apple. In der Mail steht nur Follow-Up: XXX, mein Hinweis darauf dass ich diesen Bug nicht sehen kann, wurde ignoriert. Mein Ticket ist sogar noch immer offen.
Aber viele Apple Watch Geräte sind nun sicherer :3
Es bestätigt aber eine Nachricht von vor ein paar Wochen. Apple habe intern nur wenige Personen für QA welche auch die ganzen Bugs durch gehen. Ob dies mit dem FaceTime Bug zusammenhängt lässt sich im wahrsten sinne des Wortes nur erahnen. Vllt. hat Apple ja doch intern ein paar Leute eingestellt / umdisponiert / Prozesse geändert. Erfreulich wäre dies für den Kunden und die ganzen Forscher welche die Bugs finden.
Ich habe sogar bei dem Update auf WatchOS 5.1 mich erneut gemeldet diesmal sogar mit einem Video.
Persönlich finde ich es aber echt traurig, zumal der Bug Typ Sicherheit war. Da kann man schon ein wenig mehr Begeisterung aufbringen.