Om sikkerhedsindholdet i watchOS 5
Dette dokument beskriver sikkerhedsindholdet i watchOS 5.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
watchOS 5
CFNetwork
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4126: Bruno Keith (@bkth_), som arbejder med Trend Micro's Zero Day Initiative
CoreFoundation
Fås til: Apple Watch Series 1 og nyere
Effekt: Et skadeligt program kan muligvis få adgang til hævede rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4412: Storbritanniens National Cyber Security Centre (NCSC)
CoreFoundation
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan få adgang til hævede rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4414: Storbritanniens National Cyber Security Centre (NCSC)
CoreText
Fås til: Apple Watch Series 1 og nyere
Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et use-after-free problem blev rettet ved forbedret hukommelseshåndtering.
CVE-2018-4347: En anonym programmør
dyld
Fås til: Apple Watch Series 1 og nyere
Effekt: Et skadeligt program kan muligvis ændre beskyttede dele af arkivsystemet
Beskrivelse: Der var et konfigurationsproblem, som er løst ved yderligere begrænsninger.
CVE-2018-4433: Vitaly Cheptsov
Grand Central Dispatch
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4426: Brandon Azad
Heimdal
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
IOHIDFamily
Fås til: Apple Watch Series 1 og nyere
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2018-4408: Ian Beer fra Google Project Zero
IOKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Et skadeligt program kan muligvis frigøre sig fra sin sandbox
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4341: Ian Beer fra Google Project Zero
CVE-2018-4354: Ian Beer fra Google Project Zero
IOKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.
CVE-2018-4383: Apple
IOUserEthernet
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4401: Apple
iTunes Store
Fås til: Apple Watch Series 1 og nyere
Effekt: En hacker med en privilegeret netværksposition kan efterligne anmodninger om adgangskoder i iTunes Store
Beskrivelse: Et problem med godkendelse af input er løst via forbedret godkendelse af input.
CVE-2018-4305: Jerry Decime
Kernel
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Der var et problem med godkendelse af input i kernen. Problemet er løst ved forbedret inputvalidering.
CVE-2018-4363: Ian Beer fra Google Project Zero
Kernel
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer fra Google Project Zero
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: Storbritanniens National Cyber Security Centre (NCSC)
CVE-2018-4425: cc, som arbejder med Trend Micro's Zero Day Initiative, Juwei Lin (@panicaII) fra Trend Micro, som arbejder med Trend Micro's Zero Day Initiative
Kernel
Fås til: Apple Watch Series 1 og nyere
Effekt: Et skadeligt program kan lække følsomme brugeroplysninger
Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet blev løst ved hjælp af yderligere begrænsninger.
CVE-2018-4399: Fabiano Anemone (@anoane)
Kernel
Fås til: Apple Watch Series 1 og nyere
Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2018-4407: Kevin Backhouse fra Semmle Ltd.
Safari
Fås til: Apple Watch Series 1 og nyere
Effekt: En lokal bruger kan muligvis finde websteder, som en anden bruger har besøgt
Beskrivelse: Der var et konsistensproblem i håndteringen af programsnapshots. Problemet er løst ved forbedret behandling af programsnapshots.
CVE-2018-4313: 11 anonyme programmører, David Scott, Enes Mert Ulu fra Abdullah Mürşide Özünenek Anadolu Lisesi – Ankara/Tyrkiet, Mehmet Ferit Daştan fra Van Yüzüncü Yıl University, Metin Altug Karakaya fra Kaliptus Medical Organization, Vinodh Swami fra Western Governor's University (WGU)
Sikkerhed
Fås til: Apple Watch Series 1 og nyere
Effekt: En hacker kan udnytte svagheder i RC4-kryptografialgoritmen
Beskrivelse: Problemet er løst ved at fjerne RC4.
CVE-2016-1777: Pepi Zawodsky
Sikkerhed
Fås til: Apple Watch Series 1 og nyere
Effekt: En lokal bruger kan muligvis forårsage denial of service
Beskrivelse: Problemet er løst ved forbedret kontrol.
CVE-2018-4395: Patrick Wardle fra Digita Security
Symptom Framework
Fås til: Apple Watch Series 1 og nyere
Effekt: Et program kan muligvis læse beskyttet hukommelse
Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.
CVE-2018-4203: Bruno Keith (@bkth_), som arbejder med Trend Micro's Zero Day Initiative
Tekst
Fås til: Apple Watch Series 1 og nyere
Effekt: Behandling af et skadeligt tekstarkiv kan medføre et DoS-angreb
Beskrivelse: Et Denial of Service-problem blev rettet via forbedret validering.
CVE-2018-4304: jianan.huang (@Sevck)
WebKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Et skadeligt websted kan medføre uventet funktionsmåde på tværs af oprindelsessteder
Beskrivelse: Der var et problem med iframe-elementer på tværs af oprindelsessteder. Problemet er løst ved forbedret sporing af sikkerhedsoprindelser.
CVE-2018-4319: John Pettitt fra Google
WebKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Uventet interaktion forårsager en ASSERT-fejl
Beskrivelse: Et problem med hukommelsesforbrug er løst via forbedret hukommelseshåndtering.
CVE-2018-4361: fundet af OSS-Fuzz
CVE-2018-4474: fundet af OSS-Fuzz
WebKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Uventet interaktion forårsager en ASSERT-fejl
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret validering.
CVE-2018-4191: fundet af OSS-Fuzz
WebKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Sikkerhedsfejl på tværs af oprindelsessteder omfatter den åbnede rammes oprindelse
Beskrivelse: Problemet er løst ved at fjerne oplysninger om oprindelse.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Fås til: Apple Watch Series 1 og nyere
Effekt: Behandling af webindhold med skadelig kode kan føre til kørsel af vilkårlig kode
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2018-4299: Samuel Groβ (saelo), der arbejder med Trend Micros Zero Day Initiative
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4358: @phoenhex-team (@bkth_ @5aelo @_niklasb), der arbejder med Trend Micros Zero Day Initiative
Yderligere anerkendelser
Kernedata
Vi vil gerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjælpen.
Sandbox-profiler
Vi vil gerne takke Tencent Keen Security Lab, der arbejder med Trend Micros Zero Day Initiative, for hjælpen.
SQLite
Vi vil gerne takke Andreas Kurtz (@aykay) fra NESO Security Labs GmbH for hjælpen.
WebKit
Vi vil gerne takke Tencent Keen Security Lab, der arbejder med Trend Micros Zero Day Initiative, for hjælpen.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.