Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 5

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 5.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 5

Κυκλοφόρησε στις 17 Σεπτεμβρίου 2018

CFNetwork

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4126: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

CoreFoundation

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4412: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

CoreFoundation

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4414: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

CoreText

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.

CVE-2018-4347: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

dyld

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να τροποποιεί προστατευμένα τμήματα του συστήματος αρχείων

Περιγραφή: Ένα πρόβλημα διαμόρφωσης αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2018-4433: Vitaly Cheptsov

Η καταχώριση προστέθηκε στις 22 Ιανουαρίου 2019

Grand Central Dispatch

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4426: Brandon Azad

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

Heimdal

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

IOHIDFamily

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4408: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018 και ενημερώθηκε την 1η Αυγούστου 2019

IOKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαφύγει από το προστατευμένο περιβάλλον της

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4341: Ian Beer του Google Project Zero

CVE-2018-4354: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

IOKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4383: Apple

Η καταχώριση προστέθηκε στις 24 Οκτωβρίου 2018

IOUserEthernet    

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4401: Apple

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

iTunes Store

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να έχει τη δυνατότητα να πλαστογραφήσει προτροπές συνθηματικών στο iTunes Store

Περιγραφή: Ένα πρόβλημα επαλήθευσης εισαγωγής αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4305: Jerry Decime

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Υπήρχε ένα πρόβλημα επαλήθευσης εισαγωγής στον πυρήνα. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.

CVE-2018-4363: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer του Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

CVE-2018-4425: cc σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro, Juwei Lin (@panicaII) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018 και ενημερώθηκε στις 30 Οκτωβρίου 2018

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη

Περιγραφή: Υπήρχε ένα πρόβλημα πρόσβασης με προνομιακές κλήσεις API. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2018-4399: Fabiano Anemone (@anoane)

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4407: Kevin Backhouse της Semmle Ltd.

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

Safari

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να είναι σε θέση να ανακαλύψει τους ιστότοπους που έχει επισκεφτεί ένας χρήστης

Περιγραφή: Υπήρχε ένα πρόβλημα συνέπειας στον χειρισμό των στιγμιότυπων από εφαρμογή. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο χειρισμό των στιγμιότυπων από εφαρμογή.

CVE-2018-4313: 11 ανώνυμοι ερευνητές, David Scott, Enes Mert Ulu από το Abdullah Mürşide Özünenek Anadolu Lisesi - Ankara/Türkiye, Mehmet Ferit Daştan από το Πανεπιστήμιο Van Yüzüncü Yıl, Metin Altug Karakaya από τον Ιατρικό Οργανισμό Kaliptus, Vinodh Swami από το Western Governor's University (WGU)

Ασφάλεια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου RC4

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με αφαίρεση του RC4.

CVE-2016-1777: Pepi Zawodsky

Ασφάλεια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.

CVE-2018-4395: Patrick Wardle της Digita Security

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

Πλαίσιο συμπτώματος

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε με βελτιωμένο έλεγχο ορίων.

CVE-2018-4203: Bruno Keith (@bkth_) σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

Κείμενο

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4304: jianan.huang (@Sevck)

Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας κακόβουλος ιστότοπος μπορεί να προκαλέσει μη αναμενόμενη συμπεριφορά μεταξύ προελεύσεων

Περιγραφή: Υπήρχε πρόβλημα μεταξύ προελεύσεων με στοιχεία iframe. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένο εντοπισμό των προελεύσεων ασφάλειας.

CVE-2018-4319: John Pettitt της Google

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4361: εντοπίστηκε από το OSS-Fuzz

CVE-2018-4474: εντοπίστηκε από το OSS-Fuzz

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018 και ενημερώθηκε στις 22 Ιανουαρίου 2019

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.

CVE-2018-4191: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Τα σφάλματα ασφάλειας μεταξύ προελεύσεων περιλαμβάνουν την προέλευση του πλαισίου στο οποίο πραγματοποιήθηκε η πρόσβαση

Περιγραφή: Το πρόβλημα αντιμετωπίστηκε με την κατάργηση των πληροφοριών προέλευσης.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4299: Samuel Groβ (saelo) σε συνεργασία με το Zero Day Initiative της Trend Micro

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) σε συνεργασία με το Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 24 Σεπτεμβρίου 2018

Επιπλέον αναγνώριση

Δεδομένα πυρήνα

Θα θέλαμε να ευχαριστήσουμε τον Andreas Kurtz (@aykay) του NESO Security Labs GmbH για τη βοήθειά του.

Προφίλ sandbox

Θα θέλαμε να ευχαριστήσουμε το Tencent Keen Security Lab, που συνεργάστηκε με το Zero Day Initiative της Trend Micro, για τη βοήθειά του.

SQLite

Θα θέλαμε να ευχαριστήσουμε τον Andreas Kurtz (@aykay) του NESO Security Labs GmbH για τη βοήθειά του.

WebKit

Θα θέλαμε να ευχαριστήσουμε το Tencent Keen Security Lab, που συνεργάστηκε με το Zero Day Initiative της Trend Micro, για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: