אודות תוכני האבטחה של watchOS 4.3.1
מסמך זה מתאר את תוכני האבטחה של watchOS 4.3.1.
אודות עדכוני אבטחה של Apple
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף אודות אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
watchOS 4.3.1
Bluetooth
לא הושפע: Apple Watch Series 3
השפעה: תוקף במיקום מורשה ברשת עלול להצליח ליירט תעבורת Bluetooth
CVE-2018-5383: ליאור נוימן ואלי ביהם
CoreGraphics
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4194 ג'י-חוי לו מ-Tencent KeenLab, יו ג'ואו מ-Ant-financial Light-Year Security Lab
Crash Reporter
זמין עבור: כל הדגמים של Apple Watch
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בשגיאות.
CVE-2018-4206: איאן ביר מ-Google Project Zero
FontParser
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד קובץ גופן בעל מבנה זדוני עלול להוביל להפעלה של קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות שיפור האימות.
CVE-2018-4211: Proteas מ-Qihoo 360 Nirvan Team
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: טופלה גלישת חוצץ ושופרה בדיקת חסמים.
CVE-2018-4241: איאן ביר מ-Google Project Zero
CVE-2018-4243: איאן ביר מ-Google Project Zero
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: יישום עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4249: קווין בקהאוס מ-Semmle Ltd.
libxpc
זמין עבור: כל הדגמים של Apple Watch
השפעה: יישום עלול לקבל הרשאות ברמה גבוהה יותר
תיאור: בעיית לוגיקה טופלה באמצעות אימות משופר.
CVE-2018-4237: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
libxpc
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4404: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
LinkPresentation
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד הודעת טקסט בעלת מבנה זדוני עלול להוביל לזיוף זהות בממשק משתמש
תיאור: בטיפול בכתובות URL הייתה בעיית זיוף זהות. בעיה זו טופלה באמצעות אימות קלט משופר.
CVE-2018-4187: רומן מולר (@faker_), ג'י-יאנג זנג (@Wester) מ-Tencent Security Platform Department
הודעות
זמין עבור: כל הדגמים של Apple Watch
השפעה: משתמש מקומי עלול להצליח לבצע התקפות התחזות
תיאור: בעיית החדרה טופלה באמצעות אימות משופר של הקלט.
CVE-2018-4235: אנורוד פוקארל מ-Salesforce.com
הודעות
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד הודעה בעלת מבנה זדוני עלול להוביל למניעת שירות
תיאור: בעיה זו טופלה באמצעות אימות הודעות משופר.
CVE-2018-4240: סריראם (@Sri_Hxor) מ-PrimeFort Pvt. Ltd
אבטחה
זמין עבור: כל הדגמים של Apple Watch
השפעה: משתמש מקומי עלול להצליח לקרוא מזהה מכשיר מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4224: אברהם מסרי (@cheesecakeufo)
אבטחה
זמין עבור: כל הדגמים של Apple Watch
השפעה: משתמש מקומי עלול להצליח לשנות את המצב של צרור המפתחות
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4225: אברהם מסרי (@cheesecakeufo)
אבטחה
זמין עבור: כל הדגמים של Apple Watch
השפעה: משתמש מקומי עלול להצליח לקרוא מזהה חשבון מתמיד
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4223: אברהם מסרי (@cheesecakeufo)
אבטחה
זמין עבור: כל הדגמים של Apple Watch
השפעה: משתמש מקומי עלול להצליח לצפות במידע רגיש אודות המשתמש
תיאור: בעיית אישור טופלה באמצעות ניהול מצבים משופר.
CVE-2018-4226: אברהם מסרי (@cheesecakeufo)
UIKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד קובץ מלל בעל מבנה זדוני עלול להוביל למניעת שירות
תיאור: בטיפול במלל הייתה בעיית אימות. בעיה זו טופלה באמצעות אימות מלל משופר.
CVE-2018-4198: האנטר ביירנס
WebKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מצב מירוץ טופל באמצעות נעילה משופרת.
CVE-2018-4192: מרקוס גאסדלן, איימי ברנט ופטריק ביירנט מ-Ret2 Systems, Inc, בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל לקריסה לא צפויה של Safari
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2018-4214: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית בלבול בסוגים טופלה באמצעות טיפול משופר בזיכרון.
CVE-2018-4246: התגלה על-ידי OSS-Fuzz
WebKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול טוב יותר בזיכרון.
CVE-2018-4201: חוקר אנונימי
CVE-2018-4218: נטאשנקה מ-Google Project Zero
CVE-2018-4233: סמואל גרוס (@5aelo) בעבודה עם Zero Day Initiative של Trend Micro
WebKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: קריאה מחוץ לתחום טופלה באמצעות אימות קלט משופר.
CVE-2018-4222: נטאשנקה מ-Google Project Zero
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.