Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 5.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 5.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 5.1

Κυκλοφόρησε στις 30 Οκτωβρίου 2018

AppleAVD

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4384: Natalie Silvanovich του Google Project Zero

CoreCrypto

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί μια αδυναμία στον έλεγχο Miller-Rabin για να προσδιορίσει λανθασμένα πρώτους αριθμούς

Περιγραφή: Υπήρχε πρόβλημα στη μέθοδο προσδιορισμού πρώτων αριθμών. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση ψευδοτυχαίων βάσεων για τον έλεγχο πρώτων αριθμών.

CVE-2018-4398: Martin Albrecht, Jake Massimo και Kenny Paterson του Royal Holloway, University of London και Juraj Somorovsky του Ruhr University, Bochum

ICU

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4394: Erik Verbruggen από την The Qt Company

Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018

IPSec

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.

CVE-2018-4371: Tim Michaud (@TimGMichaud) της Leviathan Security Group

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4413: Juwei Lin (@panicaII) της TrendMicro Mobile Security Team

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4419: Mohamed Ghannam (@_simo36)

Mail

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4381: Angel Ramirez

Η καταχώριση προστέθηκε στις 22 Ιανουαρίου 2019

NetworkExtension

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η σύνδεση σε έναν διακομιστή VPN μπορεί να διαρρεύσει ερωτήματα DNS σε έναν διακομιστή μεσολάβησης DNS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4369: ανώνυμος ερευνητής

Safari Reader

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

Safari Reader

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση διευθύνσεων URL.

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

Ασφάλεια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου υπογεγραμμένου μηνύματος S/MIME μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2018-4400: Yukinobu Nagayasu της LAC Co., Ltd.

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh και Sang Kil Cha του KAIST Softsec Lab, Korea

CVE-2018-4373: ngg, alippai, DirtYiCE, KT της Tresorit σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4375: Yu Haiwan και Wu Hongjun από το Nanyang Technological University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4376: 010 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4382: lokihardt του Google Project Zero

CVE-2018-4386: lokihardt του Google Project Zero

CVE-2018-4392: zhunki της 360 ESG Codesafe Team

CVE-2018-4416: lokihardt του Google Project Zero

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4378: HyungSeok Han, DongHyeon Oh και Sang Kil Cha του KAIST Softsec Lab, Κορέα. zhunki της 360 ESG Codesafe Team

Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018

Wi-Fi

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4368: Milan Stute και Alex Mariotto του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Επιπλέον αναγνώριση

Υπογραφή πιστοποιητικού

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

coreTLS

Θα θέλαμε να ευχαριστήσουμε τον Eyal Ronen (Weizmann Institute), τον Robert Gillham (University of Adelaide), τον Daniel Genkin (University of Michigan), τον Adi Shamir (Weizmann Institute), τον David Wong (NCC Group) και τον Yuval Yarom (University of Adelaide και Data61) για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 12 Δεκεμβρίου 2018

Safari Reader

Θα θέλαμε να ευχαριστήσουμε τον Ryan Pickren (ryanpickren.com) για τη βοήθειά του.

Η καταχώριση προστέθηκε στις 3 Απριλίου 2019

Ασφάλεια

Θα θέλαμε να ευχαριστήσουμε τον Marinos Bernitsas της Parachute για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: