אודות תוכן האבטחה של watchOS 4.3

מסמך זה מתאר את תוכן האבטחה של watchOS 4.3.

אודות עדכוני אבטחה של Apple

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

watchOS 4.3

הופץ ב-29 במארס 2018

CoreFoundation

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4155: סמואל גרוס (‎@5aelo)

CVE-2018-4158: סמואל גרוס (‎@5aelo)

CoreText

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד מחרוזת בעלת מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיית מניעת שירות טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4142: רובין לירוי מ-Google Switzerland GmbH

הרשומה עודכנה ב-16 בנובמבר 2018

אירועי מערכת בקובץ

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4167: סמואל גרוס (‎@5aelo)

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4150: חוקר אנונימי

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום עלול להצליח לקרוא זיכרון מוגבל

תיאור: בעיית אימות טופלה באמצעות סניטציה משופרת של קלט.

CVE-2018-4104: ‏National Cyber Security Centre ‏(NCSC) של בריטניה

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2018-4143:‏ derrek‏ (‎@derrekr6)

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום זדוני עלול להצליח לקבוע את פריסת זיכרון הליבה

תיאור: הייתה בעיה של חשיפת מידע במעבר של מצב תוכנית. בעיה זו טופלה באמצעות ניהול מצבים משופר.

CVE-2018-4185: ‏ברנדון אזאד

הרשומה נוספה ב-19 ביולי 2018

libxml2

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari

תיאור: בעיית שימוש לאחר שחרור טופלה באמצעות שיפור ניהול הזיכרון.

CVE-2017-15412: ניק וולנהופר

הערך נוסף ב-18 באוקטובר 2018

LinkPresentation

זמין עבור: כל הדגמים של Apple Watch

השפעה: ביקור באתר זדוני עשוי לגרום לזיוף שורת הכתובות

תיאור: בעיה של חוסר עקביות בממשק המשתמש טופלה באמצעות ניהול מצבים משופר.

CVE-2018-4390: ראיאן ביז'ורה (‎@Bijoora) מ-The City School,‏ PAF Chapter

CVE-2018-4391: ראיאן ביז'ורה (‎@Bijoora) מ-The City School,‏ PAF Chapter

הרשומה נוספה ב-30 באוקטובר 2018, עודכנה ב-16 בנובמבר 2018

NSURLSession

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4166: סמואל גרוס (‎@5aelo)

מבט מהיר

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר

תיאור: מצב מירוץ טופל באמצעות אימות נוסף.

CVE-2018-4157: סמואל גרוס (‎@5aelo)

אבטחה

זמין עבור: כל הדגמים של Apple Watch

השפעה: יישום זדוני עלול להצליח להשיג הרשאות ברמה גבוהה יותר

תיאור: גלישת חוצץ טופלה ואימות הגודל שופר.

CVE-2018-4144: אברהם מסרי ‏(‎@cheesecakeufo)

העדפות מערכת

זמין עבור: כל הדגמים של Apple Watch

השפעה: פרופיל תצורה עלול להישאר בתוקף באופן שגוי לאחר הסרתו

תיאור: הייתה בעיה ב-CFPreferences. בעיה זו טופלה באמצעות ניקוי העדפות משופר.

CVE-2018-4115: יוהאן תלקאדה, ולדימיר זובקוב ומאט ולאסאק מ-Wandera

הרשומה עודכנה ב-16 בנובמבר 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס הגורמת לכשל ASSERT

תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4113: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל למניעת שירות

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2018-4146: התגלה על-ידי OSS-Fuzz

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4114: התגלה על-ידי OSS-Fuzz

CVE-2018-4121: נטאשנקה Google Project Zero

CVE-2018-4122:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4125:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4129:‏ likemeng מ-Baidu Security Lab‏ (xlab.baidu.com) יחד עם Zero Day Initiative של Trend Micro

CVE-2018-4161:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4162:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

CVE-2018-4163:‏ WanderingGlitch מ-Zero Day Initiative של Trend Micro

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אתר אינטרנט זדוני עלול לחלץ מקורות מרובים של נתונים

תיאור: בעיה של מקורות מרובים הייתה קיימת ב-API לשליפה. הבעיה טופלה באמצעות אימות קלט משופר.

CVE-2018-4117: חוקר אנונימי, חוקר אנונימי

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4207: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4208: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4209: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה עם סוגי יצירת אינדקס גרמה לכשל

תיאור: הייתה בעיה של יצירת אינדקס מערכים בטיפול בפונקציה ב-javascript core. בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4210: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4212: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: אינטראקציה בלתי צפויה גורמת לכשל ASSERT

תיאור: בעיה זו טופלה באמצעות בדיקות משופרות.

CVE-2018-4213: התגלה על-ידי OSS-Fuzz

הרשומה נוספה ב-2 במאי 2018

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.

CVE-2018-4145: התגלה על-ידי OSS-Fuzz

הערך נוסף ב-18 באוקטובר 2018

תודות נוספות

דואר

אנחנו מבקשים להודות לסברי חדוש (‎@pwnsdx) מ-Wire Swiss GmbH על הסיוע.

הערך נוסף ב-21 ביוני 2018

אבטחה

אנחנו מבקשים להודות לאברהם מסרי (‎@cheesecakeufo) על הסיוע.

הרשומה נוספה ב-13 באפריל 2018

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: