Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 5

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 5

Κυκλοφόρησε στις 17 Σεπτεμβρίου 2018

IOKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4383: Apple

Η καταχώριση προστέθηκε στις 24 Οκτωβρίου 2018

iTunes Store

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να έχει τη δυνατότητα να πλαστογραφήσει προτροπές συνθηματικών στο iTunes Store

Περιγραφή: Ένα πρόβλημα επικύρωσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2018-4305: Jerry Decime

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης εισαγωγής στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2018-4363: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer του Google Project Zero

CVE-2018-4344: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018 και ενημερώθηκε στις 24 Οκτωβρίου 2018

Safari

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να είναι σε θέση να ανακαλύψει τους ιστότοπους που έχει επισκεφτεί ένας χρήστης

Περιγραφή: Υπήρχε ένα πρόβλημα συνέπειας στον χειρισμό των στιγμιότυπων από εφαρμογή. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των στιγμιότυπων από εφαρμογή.

CVE-2018-4313: 11 ανώνυμοι ερευνητές, David Scott, Enes Mert Ulu από το Abdullah Mürşide Özünenek Anadolu Lisesi - Ankara/Türkiye, Mehmet Ferit Daştan από το Πανεπιστήμιο Van Yüzüncü Yıl, Metin Altug Karakaya από τον Ιατρικό Οργανισμό Kaliptus, Vinodh Swami από το Πανεπιστήμιο Western Governor (WGU)

Ασφάλεια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου RC4

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε αφαιρώντας το RC4.

CVE-2016-1777: Pepi Zawodsky

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να προκαλέσει μη αναμενόμενη συμπεριφορά μεταξύ προελεύσεων

Περιγραφή: Υπήρχε ζήτημα μεταξύ προελεύσεων με στοιχεία iframe. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένου εντοπισμού των προελεύσεων ασφάλειας.

CVE-2018-4319: John Pettitt της Google

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί αποτυχία ASSERT

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4361: εντοπίστηκε από το OSS-Fuzz

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018 και ενημερώθηκε στις 24 Οκτωβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί αποτυχία ASSERT

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2018-4191: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Τα σφάλματα ασφάλειας μεταξύ προελεύσεων περιλαμβάνουν την προέλευση του πλαισίου στο οποίο πραγματοποιήθηκε η πρόσβαση

Περιγραφή: Το ζήτημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4299: Samuel Groβ (saelo) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) σε συνεργασία με το Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

Επιπλέον αναγνώριση

Δεδομένα πυρήνα

Θα θέλαμε να ευχαριστήσουμε τον Andreas Kurtz (@aykay) του NESO Security Labs GmbH για τη βοήθειά του.

Προφίλ sandbox

Θα θέλαμε να ευχαριστήσουμε το Tencent Keen Security Lab, που συνεργάστηκε με το Zero Day Initiative της Trend Micro, για τη βοήθειά του.

SQLite

Θα θέλαμε να ευχαριστήσουμε τον Andreas Kurtz (@aykay) του NESO Security Labs GmbH για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε το Tencent Keen Security Lab, που συνεργάστηκε με το Zero Day Initiative της Trend Micro, για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: