Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 4.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 4.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 4.2

Κυκλοφόρησε στις 5 Δεκεμβρίου 2017

Αυτόματο ξεκλείδωμα

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.

CVE-2017-13905: Samuel Groß (@5aelo)

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

Συνεδρία CFNetwork

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7172: Richard Zhu (fluorescence) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 22 Ιανουαρίου 2018

CoreAnimation

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7171: 360 Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro και Tencent Keen Security Lab (@keen_lab) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 22 Ιανουαρίου 2018

CoreFoundation

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.

CVE-2017-7151: Samuel Groß (@5aelo)

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

IOKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 21 Δεκεμβρίου 2017 και ενημερώθηκε στις 10 Ιανουαρίου 2018

IOSurface

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13861: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13904: Kevin Backhouse της Semmle Ltd.

Η καταχώριση προστέθηκε στις 14 Φεβρουαρίου 2018

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει απρόσμενο τερματισμό συστήματος ή να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης εισαγωγής στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-7154: Jann Horn του Google Project Zero

Η καταχώριση προστέθηκε στις 10 Ιανουαρίου 2018

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer του Google Project Zero

CVE-2017-13876: Ian Beer του Google Project Zero

Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2017-7173: Brandon Azad

Η καταχώριση ενημερώθηκε την 1η Αυγούστου 2018

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13855: Jann Horn του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13865: Ian Beer του Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn του Google Project Zero

Η καταχώριση ενημερώθηκε στις 21 Δεκεμβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμιο πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13880: Apple

Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7165: 360 Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 22 Ιανουαρίου 2017

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13884: 360 Security σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση ενημερώθηκε στις 22 Ιανουαρίου 2017

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση του περιβάλλοντος εργασίας χρήστη

Περιγραφή: Οι αποκρίσεις ανακατεύθυνσης στο σφάλμα «401 Unauthorized» ενδέχεται να επιτρέψουν σε έναν κακόβουλο ιστότοπο να εμφανίζει λανθασμένα το εικονίδιο κλειδαριάς σε μικτό περιεχόμενο. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης λογικής εμφάνισης διευθύνσεων URL.

CVE-2017-7153: Jerry Decime

Η καταχώριση προστέθηκε στις 11 Ιανουαρίου 2018

Wi-Fi

Διατίθεται για: Apple Watch (1ης γενιάς) και Apple Watch Series 3
Κυκλοφόρησε για Apple Watch Series 1 και Apple Watch Series 2 στο watchOS 4.1.

Αποτέλεσμα: Ένας εισβολέας στην εμβέλεια του Wi-Fi ενδεχομένως να επιβάλλει την επαναχρησιμοποίηση μοναδικών αριθμών nonce σε πολλαπλή διανομή WPA/υπολογιστές-πελάτες GTK (επιθέσεις επανεγκατάστασης κλειδιών - KRACK)

Περιγραφή: Υπήρχε ένα σφάλμα λογικής στον χειρισμό των μεταβάσεων κατάστασης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13080: Mathy Vanhoef της ομάδας imec-DistriNet στο KU Leuven

Κανένας αποτέλεσμα

Το watchOS 4.2 δεν επηρεάζεται από το ακόλουθο πρόβλημα:

Πυρήνας

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα (Meltdown)

Περιγραφή: Τα συστήματα με μικροεπεξεργαστές που χρησιμοποιούν υποθετική εκτέλεση και έμμεση πρόβλεψη διακλάδωσης ενδέχεται να επιτρέψουν τη μη εξουσιοδοτημένη αποκάλυψη πληροφοριών σε έναν εισβολέα με τοπική πρόσβαση χρήστη μέσω ανάλυσης πλευρικού καναλιού της μνήμης cache δεδομένων.

CVE-2017-5754: Jann Horn του Google Project Zero, Moritz Lipp από το Graz University of Technology, Michael Schwarz από το Graz University of Technology, Daniel Gruss από το Graz University of Technology, Thomas Prescher της Cyberus Technology GmbH, Werner Haas της Cyberus Technology GmbH, Stefan Mangard από το Graz University of Technology, Paul Kocher, Daniel Genkin από το University of Pennsylvania και το University of Maryland, Yuval Yarom από το University of Adelaide και το δίκτυο Data61 και Mike Hamburg της Rambus (τμήμα Cryptography Research)

Η καταχώριση προστέθηκε στις 4 Ιανουαρίου 2018 και ενημερώθηκε στις 10 Ιανουαρίου 2018

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Νοεμβρίου 05, 2018