Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
watchOS 5.1
Κυκλοφόρησε στις 30 Οκτωβρίου 2018
AppleAVD
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδέχεται να μπορεί να προβιβάσει προνόμια
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4384: Natalie Silvanovich του Google Project Zero
CoreCrypto
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί μια αδυναμία στον έλεγχο Miller-Rabin για να προσδιορίσει λανθασμένα πρώτους αριθμούς
Περιγραφή: Υπήρχε πρόβλημα στη μέθοδο προσδιορισμού πρώτων αριθμών. Αυτό το πρόβλημα αντιμετωπίστηκε με τη χρήση ψευδοτυχαίων βάσεων για τον έλεγχο πρώτων αριθμών.
CVE-2018-4398: Martin Albrecht, Jake Massimo και Kenny Paterson του Royal Holloway, University of London και Juraj Somorovsky του Ruhr University, Bochum
ICU
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία μιας συμβολοσειράς με κακόβουλη δομή μπορεί να προκαλέσει αλλοίωση σωρού
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4394: Erik Verbruggen από την The Qt Company
Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018
IPSec
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει αυξημένα προνόμια
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επαλήθευσης εισαγωγής.
CVE-2018-4371: Tim Michaud (@TimGMichaud) της Leviathan Security Group
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε αφαιρώντας τον ευάλωτο κώδικα.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα προετοιμασίας μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4413: Juwei Lin (@panicaII) της TrendMicro Mobile Security Team
Πυρήνας
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4419: Mohamed Ghannam (@_simo36)
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων αντιμετωπίστηκε με βελτιωμένη επαλήθευση εισαγωγής.
CVE-2018-4381: Angel Ramirez
Η καταχώριση προστέθηκε στις 22 Ιανουαρίου 2019
NetworkExtension
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η σύνδεση σε έναν διακομιστή VPN μπορεί να διαρρεύσει ερωτήματα DNS σε έναν διακομιστή μεσολάβησης DNS
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.
CVE-2018-4369: ανώνυμος ερευνητής
Safari Reader
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
Safari Reader
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η ενεργοποίηση της λειτουργίας Safari Reader σε κακόβουλα δομημένη ιστοσελίδα μπορεί να επιτρέπει καθολική διατοποθεσιακή εκτέλεση σεναρίων
Περιγραφή: Υπήρχε πρόβλημα σεναρίου μεταξύ ιστότοπων στο Safari. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επαλήθευση διευθύνσεων URL.
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
Ασφάλεια
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου υπογεγραμμένου μηνύματος S/MIME μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα επαλήθευσης αντιμετωπίστηκε με βελτιωμένη λογική.
CVE-2018-4400: Yukinobu Nagayasu της LAC Co., Ltd.
WebKit
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Τα πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2018-4372: HyungSeok Han, DongHyeon Oh και Sang Kil Cha του KAIST Softsec Lab, Korea
CVE-2018-4373: ngg, alippai, DirtYiCE, KT της Tresorit σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4375: Yu Haiwan και Wu Hongjun από το Nanyang Technological University σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4376: 010 σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2018-4382: lokihardt του Google Project Zero
CVE-2018-4386: lokihardt του Google Project Zero
CVE-2018-4392: zhunki της 360 ESG Codesafe Team
CVE-2018-4416: lokihardt του Google Project Zero
WebKit
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4378: HyungSeok Han, DongHyeon Oh και Sang Kil Cha του KAIST Softsec Lab, Κορέα. zhunki της 360 ESG Codesafe Team
Η καταχώριση ενημερώθηκε στις 16 Νοεμβρίου 2018
Wi-Fi
Διατίθεται για: Apple Watch Series 1 και νεότερα μοντέλα
Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση μπορεί να έχει τη δυνατότητα να εκτελέσει μια επίθεση άρνησης υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε με βελτιωμένη επαλήθευση.
CVE-2018-4368: Milan Stute και Alex Mariotto του Secure Mobile Networking Lab στο Technische Universität Darmstadt
Επιπλέον αναγνώριση
Υπογραφή πιστοποιητικού
Θα θέλαμε να ευχαριστήσουμε τον Yiğit Can YILMAZ (@yilmazcanyigit) για τη βοήθειά του.
coreTLS
Θα θέλαμε να ευχαριστήσουμε τον Eyal Ronen (Weizmann Institute), τον Robert Gillham (University of Adelaide), τον Daniel Genkin (University of Michigan), τον Adi Shamir (Weizmann Institute), τον David Wong (NCC Group) και τον Yuval Yarom (University of Adelaide και Data61) για τη βοήθειά τους.
Η καταχώριση προστέθηκε στις 12 Δεκεμβρίου 2018
Safari Reader
Θα θέλαμε να ευχαριστήσουμε τον Ryan Pickren (ryanpickren.com) για τη βοήθειά του.
Η καταχώριση προστέθηκε στις 3 Απριλίου 2019
Ασφάλεια
Θα θέλαμε να ευχαριστήσουμε τον Marinos Bernitsas της Parachute για τη βοήθειά του.