Informace o bezpečnostním obsahu watchOS 4.3

Tento dokument popisuje bezpečnostní obsah watchOS 4.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.

watchOS 4.3

Vydáno 29. března 2018

CoreFoundation

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

CoreText

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého řetězce může vést k odmítnutí služby.

Popis: Problém s odmítnutím služby byl vyřešen vylepšením správy paměti.

CVE-2018-4142: Robin Leroy ze společnosti Google Switzerland GmbH

Události souborového systému

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2018-4167: Samuel Groß (@5aelo)

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivé aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2018-4150: anonymní výzkumník

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2018-4104: Národní centrum Spojeného království pro kyberbezpečnost (NCSC)

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2018-4143: derrek (@derrekr6)

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivé aplikaci se může podařit rozpoznat rozvržení jádra.

Popis: V přechodech mezi stavy programu existoval problém s odhalením informací. Problém byl vyřešen vylepšením zpracovávání stavů.

CVE-2018-4185: Brandon Azad

Záznam přidán 19. července 2018

libxml2

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést k nečekanému pádu Safari.

Popis: Problém s použitím paměti po uvolnění byl vyřešen vylepšením správy paměti.

CVE-2017-15412: Nick Wellnhofer

Záznam přidán 18. října 2018

NSURLSession

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2018-4166: Samuel Groß (@5aelo)

Rychlý náhled

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit navýšit si oprávnění.

Popis: Problém se souběhem byl vyřešen dodatečným ověřováním.

CVE-2018-4157: Samuel Groß (@5aelo)

Zabezpečení

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivá aplikace si může navýšit oprávnění.

Popis: Problém s přetečením zásobníku byl vyřešen vylepšením ověřování velikosti.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Předvolby systému

K dispozici pro: Všechny modely Apple Watch

Dopad: Konfigurační profil může nesprávně zůstat v platnosti i po odebrání.

Popis: Existoval problém v součásti CFPreferences. Problém byl vyřešen vylepšením čištění předvoleb.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov a Matt Vlasach ze společnosti Wandera

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce s typy indexování způsobovala chybu ASSERT.

Popis: Ve zpracovávání funkcí javascriptového jádra existoval problém s indexováním matic. Problém byl vyřešen vylepšením kontrol.

CVE-2018-4113: nalezeno programem OSS-Fuzz

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést k odmítnutí služby.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2018-4146: nalezeno programem OSS-Fuzz

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2018-4114: nalezeno programem OSS-Fuzz

CVE-2018-4121: Natalie Silvanovich z týmu Google Project Zero

CVE-2018-4122: WanderingGlitch ze Zero Day Initiative společnosti Trend Micro

CVE-2018-4125: WanderingGlitch ze Zero Day Initiative společnosti Trend Micro

CVE-2018-4129: likemeng z týmu Baidu Security Lab ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2018-4161: WanderingGlitch ze Zero Day Initiative společnosti Trend Micro

CVE-2018-4162: WanderingGlitch ze Zero Day Initiative společnosti Trend Micro

CVE-2018-4163: WanderingGlitch ze Zero Day Initiative společnosti Trend Micro

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivý web může získat data napříč původy.

Popis: V načítací API docházelo k problému se záměnou původu. Problém byl vyřešen vylepšením ověřování vstupů.

CVE-2018-4117: anonymní výzkumník a anonymní výzkumník

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce způsobovala chybu ASSERT.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2018-4207: nalezeno programem OSS-Fuzz

Záznam přidán 2. května 2018

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce způsobovala chybu ASSERT.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2018-4208: nalezeno programem OSS-Fuzz

Záznam přidán 2. května 2018

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce způsobovala chybu ASSERT.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2018-4209: nalezeno programem OSS-Fuzz

Záznam přidán 2. května 2018

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce s typy indexování způsobovala chybu.

Popis: Ve zpracovávání funkcí javascriptového jádra existoval problém s indexováním matic. Problém byl vyřešen vylepšením kontrol.

CVE-2018-4210: nalezeno programem OSS-Fuzz

Záznam přidán 2. května 2018

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce způsobovala chybu ASSERT.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2018-4212: nalezeno programem OSS-Fuzz

Záznam přidán 2. května 2018

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Nečekaná interakce způsobovala chybu ASSERT.

Popis: Problém byl vyřešen vylepšením kontrol.

CVE-2018-4213: nalezeno programem OSS-Fuzz

Záznam přidán 2. května 2018

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění kódu

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2018-4145: Nalezeno programem OSS-Fuzz

Záznam přidán 18. října 2018

Další poděkování

Mail

Poděkování za pomoc si zaslouží Sabri Haddouche (@pwnsdx) ze společnosti Wire Swiss GmbH.

Záznam přidán 21. června 2018

Zabezpečení

Poděkování za pomoc si zaslouží Abraham Masri (@cheesecakeufo).

Záznam přidán 13. dubna 2018

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: