Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
watchOS 4.3
Κυκλοφόρησε στις 29 Μαρτίου 2018
CoreFoundation
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4142: Robin Leroy της Google Switzerland GmbH
Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018
Συμβάντα συστήματος αρχείων
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2018-4167: Samuel Groß (@5aelo)
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4150: ανώνυμος ερευνητής
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2018-4104: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4143: derrek (@derrekr6)
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στη μετάβαση της κατάστασης προγράμματος. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού κατάστασης.
CVE-2018-4185: Brandon Azad
Η καταχώριση προστέθηκε στις 19 Ιουλίου 2018
libxml2
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου web μπορεί να οδηγήσει σε μη αναμενόμενο σφάλμα στο Safari
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου «use after free» αντιμετωπίστηκε με βελτιωμένη διαχείριση μνήμης.
CVE-2017-15412: Nick Wellnhofer
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
LinkPresentation
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επίσκεψη σε έναν κακόβουλο ιστότοπο ενδέχεται να οδηγήσει σε πλαστογράφηση της γραμμής διευθύνσεων
Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) του The City School, PAF Chapter
Η καταχώριση προστέθηκε στις 30 Οκτωβρίου 2018 και ενημερώθηκε στις 16 Νοεμβρίου 2018
NSURLSession
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2018-4166: Samuel Groß (@5aelo)
Άμεση προβολή
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης.
CVE-2018-4157: Samuel Groß (@5aelo)
Ασφάλεια
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε με βελτιωμένη επικύρωση μεγέθους.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Προτιμήσεις συστήματος
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένα προφίλ ρύθμισης παραμέτρων ενδέχεται να παραμείνει εσφαλμένα σε ισχύ μετά από κατάργηση
Περιγραφή: Υπήρχε ένα πρόβλημα στο CFPreferences. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη εκκαθάριση προτιμήσεων.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov και Matt Vlasach του Wandera
Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση με τύπους δημιουργίας ευρετηρίου που προκαλούν το σφάλμα ASSERT
Περιγραφή: Υπήρχε ένα πρόβλημα δημιουργίας πίνακα ευρετηρίου στον χειρισμό μιας λειτουργίας στον πυρήνα javascript. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4113: εντοπίστηκε από OSS-Fuzz
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία περιεχομένου ιστού με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4146: εντοπίστηκε από OSS-Fuzz
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4114: εντοπίστηκε από OSS-Fuzz
CVE-2018-4121: Natalie Silvanovich του Google Project Zero
CVE-2018-4122: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4125: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4129: likemeng του Baidu Security Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4161: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4162: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4163: WanderingGlitch από το πρόγραμμα Zero Day Initiative της Trend Micro
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένας κακόβουλος ιστότοπος ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων
Περιγραφή: Υπήρχε ένα πρόβλημα μεταξύ προελεύσεων με το API λήψης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
CVE-2018-4117: ανώνυμος ερευνητής, ανώνυμος ερευνητής
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4207: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 2 Μαΐου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4208: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 2 Μαΐου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4209: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 2 Μαΐου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση με τύπους δημιουργίας ευρετηρίου προκάλεσε σφάλμα
Περιγραφή: Υπήρχε ένα πρόβλημα δημιουργίας πίνακα ευρετηρίου στον χειρισμό μιας λειτουργίας στον πυρήνα javascript. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4210: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 2 Μαΐου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4212: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 2 Μαΐου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Απρόσμενη αλληλεπίδραση προκαλεί το σφάλμα ASSERT
Περιγραφή: Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένους ελέγχους.
CVE-2018-4213: εντοπίστηκε από OSS-Fuzz
Η καταχώριση προστέθηκε στις 2 Μαΐου 2018
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4145: εντοπίστηκε από το OSS-Fuzz
Η καταχώριση προστέθηκε στις 18 Οκτωβρίου 2018
Επιπλέον αναγνώριση
Θα θέλαμε να ευχαριστήσουμε τον Sabri Haddouche (@pwnsdx) από την Wire Swiss GmbH για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 21 Ιουνίου 2018
Ασφάλεια
Θα θέλαμε να ευχαριστήσουμε τον Abraham Masri (@cheesecakeufo) για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 13 Απριλίου 2018