Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 5.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 5.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 5.1

Κυκλοφόρησε στις 30 Οκτωβρίου 2018

AppleAVD

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2018-4384: Natalie Silvanovich του Google Project Zero

CoreCrypto

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί μια αδυναμία στον έλεγχο Miller-Rabin για να προσδιορίσει λανθασμένα πρώτους αριθμούς

Περιγραφή: Υπήρχε πρόβλημα στη μέθοδο προσδιορισμού πρώτων αριθμών. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση ψευδοτυχαίων βάσεων για τον έλεγχο πρώτων αριθμών.

CVE-2018-4398: Martin Albrecht, Jake Massimo και Kenny Paterson του Royal Holloway, University of London και Juraj Somorovsky του Ruhr University, Bochum

ICU

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2018-4394: Erik Verbruggen από την The Qt Company

Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018

IPSec

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2018-4371: Tim Michaud (@TimGMichaud) της Leviathan Security Group

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.

CVE-2018-4420: Mohamed Ghannam (@_simo36)

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4413: Juwei Lin (@panicaII) της TrendMicro Mobile Security Team

Πυρήνας

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4419: Mohamed Ghannam (@_simo36)

NetworkExtension

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η σύνδεση σε έναν διακομιστή VPN μπορεί να διαρρεύσει ερωτήματα DNS σε έναν διακομιστή μεσολάβησης DNS

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2018-4369: ανώνυμος ερευνητής

Safari Reader

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2018-4374: Ryan Pickren (ryanpickren.com)

Safari Reader

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων

Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση διευθύνσεων URL.

CVE-2018-4377: Ryan Pickren (ryanpickren.com)

Ασφάλεια

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου υπογεγραμμένου μηνύματος S/MIME μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2018-4400: Yukinobu Nagayasu της LAC Co., Ltd.

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2018-4372: HyungSeok Han, DongHyeon Oh και Sang Kil Cha του KAIST Softsec Lab, Korea

CVE-2018-4373: ngg, alippai, DirtYiCE, KT της Tresorit σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4375: Yu Haiwan και Wu Hongjun από το Nanyang Technological University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4376: 010 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2018-4382: lokihardt του Google Project Zero

CVE-2018-4386: lokihardt του Google Project Zero

CVE-2018-4392: zhunki της 360 ESG Codesafe Team

CVE-2018-4416: lokihardt του Google Project Zero

WebKit

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2018-4378: HyungSeok Han, DongHyeon Oh και Sang Kil Cha του KAIST Softsec Lab, Κορέα. zhunki της 360 ESG Codesafe Team

Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018

WiFi

Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2018-4368: Milan Stute και Alex Mariotto του Secure Mobile Networking Lab στο Technische Universität Darmstadt

Επιπλέον αναγνώριση

Υπογραφή πιστοποιητικού

Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.

coreTLS

Θα θέλαμε να ευχαριστήσουμε τον Eyal Ronen (Weizmann Institute), τον Robert Gillham (University of Adelaide), τον Daniel Genkin (University of Michigan), τον Adi Shamir (Weizmann Institute), τον David Wong (NCC Group) και τον Yuval Yarom (University of Adelaide και Data61) για τη βοήθειά τους.

Η καταχώριση προστέθηκε στις 12 Δεκεμβρίου 2018

Ασφάλεια

Θα θέλαμε να ευχαριστήσουμε τον Marinos Bernitsas της Parachute για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: