Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 4.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 4.2.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
watchOS 4.2
Αυτόματο ξεκλείδωμα
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2017-13905: Samuel Groß (@5aelo)
Συνεδρία CFNetwork
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7172: Richard Zhu (fluorescence) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreAnimation
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7171: 360 Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro και Tencent Keen Security Lab (@keen_lab) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CoreFoundation
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2017-7151: Samuel Groß (@5aelo)
IOKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
IOSurface
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13861: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13904: Kevin Backhouse της Semmle Ltd.
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης εισαγωγής στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2017-7154: Jann Horn του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13862: Apple
CVE-2017-13867: Ian Beer του Google Project Zero
CVE-2017-13876: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.
CVE-2017-7173: Brandon Azad
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13855: Jann Horn του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-13865: Ian Beer του Google Project Zero
CVE-2017-13868: Brandon Azad
CVE-2017-13869: Jann Horn του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμιο πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13880: Apple
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-7165: 360 Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-13884: 360 Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη
Περιγραφή: Οι αποκρίσεις ανακατεύθυνσης στο σφάλμα «401 Unauthorized» ενδέχεται να επιτρέψουν σε έναν κακόβουλο ιστότοπο να εμφανίζει λανθασμένα το εικονίδιο κλειδαριάς σε μικτό περιεχόμενο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης λογικής εμφάνισης διευθύνσεων URL.
CVE-2017-7153: Jerry Decime
Wi-Fi
Διατίθεται για: Apple Watch (1ης γενιάς) και Apple Watch Series 3
Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε πολλαπλή διανομή WPA/υπολογιστές-πελάτες GTK (επιθέσεις επανεγκατάστασης κλειδιών - KRACK)
Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2017-13080: Mathy Vanhoef της ομάδας imec-DistriNet στο KU Leuven
Κανένας αποτέλεσμα
Το watchOS 4.2 δεν επηρεάζεται από το ακόλουθο πρόβλημα:
Πυρήνας
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα (Meltdown)
Περιγραφή: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και έμμεση πρόβλεψη διακλάδωσης ενδέχεται να επιτρέψουν τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών σε έναν εισβολέα με τοπική πρόσβαση χρήστη μέσω ανάλυσης πλευρικού καναλιού της μνήμης cache δεδομένων.
CVE-2017-5754: Jann Horn του Google Project Zero, Moritz Lipp από το Graz University of Technology, Michael Schwarz από το Graz University of Technology, Daniel Gruss από το Graz University of Technology, Thomas Prescher της Cyberus Technology GmbH, Werner Haas της Cyberus Technology GmbH, Stefan Mangard από το Graz University of Technology, Paul Kocher, Daniel Genkin από το University of Pennsylvania και το University of Maryland, Yuval Yarom από το University of Adelaide και το δίκτυο Data61 και Mike Hamburg της Rambus (τμήμα Cryptography Research)
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.