Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 4.3.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 4.3.2.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
watchOS 4.3.2
CFNetwork
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Τα cookie ενδέχεται να παραμένουν απρόσμενα στο Safari
Περιγραφή: Ένα πρόβλημα διαχείρισης cookie αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4293: ανώνυμος ερευνητής
CoreCrypto
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
Χαρακτήρες Emoji
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία emoji σε ορισμένες διαμορφώσεις ενδέχεται να οδηγήσει σε άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4290: Patrick Wardle της Digita Security
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4282: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs, Proteas από την ομάδα του Qihoo 360 Nirvan, Valentin «slashd» Shilnenkov
libxpc
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4280: Brandon Azad
libxpc
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.
CVE-2018-4248: Brandon Azad
LinkPresentation
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Υπήρχε πρόβλημα πλαστογράφησης στον χειρισμό των διευθύνσεων URL. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4277: xisigr του Tencent Xuanwu Lab (tencent.com)
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4270: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4284: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2018-4266: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4262: Mateusz Krzywicki σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4264: εντοπίστηκε από το OSS-Fuzz, τον Yu Zhou και τον Jundong Xie του Ant-financial Light-Year Security Lab
CVE-2018-4272: εντοπίστηκε από το OSS-Fuzz
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένη επικύρωση εισόδου.
CVE-2018-4271: εντοπίστηκε από το OSS-Fuzz
CVE-2018-4273: εντοπίστηκε από το OSS-Fuzz
Επιπλέον αναγνώριση
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον juwei lin (@panicaII) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro για τη βοήθειά του.
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.