Informacije o sigurnosnom sadržaju sustava watchOS 5
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
watchOS 5
CFNetwork
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4126: Bruno Keith (@bkth_) u suradnji s inicijativom Zero Day (Trend Micro)
CoreFoundation
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4412: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
CoreFoundation
Dostupno za: Apple Watch Series 1 i novije
Učinak: aplikacije mogu dobiti veće ovlasti
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4414: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
Jezgreni tekst
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4347: anonimni istraživač
dyld
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerna aplikacija može izmijeniti zaštićene dijelove datotečnog sustava
Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.
CVE-2018-4433: Vitaly Cheptsov
Središnji dispečerski centar
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4426: Brandon Azad
Heimdal
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4331: Brandon Azad
CVE-2018-4332: Brandon Azad
CVE-2018-4343: Brandon Azad
IOHIDFamily
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4408: Ian Beer (Google Project Zero)
IOKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerne aplikacije mogu izaći izvan ograničene memorije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4341: Ian Beer (Google Project Zero)
CVE-2018-4354: Ian Beer (Google Project Zero)
IOKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4383: Apple
IOUserEthernet
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4401: Apple
iTunes Store
Dostupno za: Apple Watch Series 1 i novije
Učinak: napadači s mrežnim ovlastima mogu krivotvoriti zahtjeve za unos lozinke na servisu iTunes Store
Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4305: Jerry Decime
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4363: Ian Beer (Google Project Zero)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4336: Brandon Azad
CVE-2018-4337: Ian Beer (Google Project Zero)
CVE-2018-4340: Mohamed Ghannam (@_simo36)
CVE-2018-4344: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
CVE-2018-4425: cc u suradnji s inicijativom Zero Day (Trend Micro), Juwei Lin (@panicaII) (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerna aplikacija može odati osjetljive korisničke informacije
Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.
CVE-2018-4399: Fabiano Anemone (@anoane)
Kernel
Dostupno za: Apple Watch Series 1 i novije
Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)
Safari
Dostupno za: Apple Watch Series 1 i novije
Učinak: lokalni korisnik može otkriti web-mjesta koja je neki korisnik posjetio
Opis: otkriven je problem s dosljednošću u rukovanju snimkama aplikacija. Problem je riješen poboljšanim rukovanjem snimkama aplikacija.
CVE-2018-4313: 11 anonimnih istraživača, David Scott, Enes Mert Ulu (Abdullah Mürşide Özünenek Anadolu Lisesi, Ankara/Turska), Mehmet Ferit Daştan (Sveučilište Van Yüzüncü Yıl), Metin Altug Karakaya (Kaliptus Medical Organization), Vinodh Swami (Sveučilište Western Governor's University (WGU))
Sigurnost
Dostupno za: Apple Watch Series 1 i novije
Učinak: napadači mogu iskoristiti slabe točke kriptografskog algoritma RC4
Opis: problem je riješen uklanjanjem algoritma RC4.
CVE-2016-1777: Pepi Zawodsky
Sigurnost
Dostupno za: Apple Watch Series 1 i novije
Učinak: lokalni korisnik može izazvati odbijanje usluge
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4395: Patrick Wardle (Digita Security)
Platforma za prepoznavanje simptoma
Dostupno za: Apple Watch Series 1 i novije
Učinak: neke aplikacije mogu čitati ograničenu memoriju
Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.
CVE-2018-4203: Bruno Keith (@bkth_) u suradnji s inicijativom Zero Day (Trend Micro)
Tekst
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjerne tekstne datoteke moglo se uzrokovati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.
CVE-2018-4304: jianan.huang (@Sevck)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u više izvora
Opis: u iframe elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.
CVE-2018-4319: John Pettitt (Google)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4361: otkrio OSS-Fuzz
CVE-2018-4474: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.
CVE-2018-4191: otkrio OSS-Fuzz
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: svojstvo SecurityErrors iz više izvora sadrži izvor okvira kojem je pristupljeno
Opis: problem je riješen uklanjanjem podataka o izvoru.
CVE-2018-4311: Erling Alf Ellingsen (@steike)
WebKit
Dostupno za: Apple Watch Series 1 i novije
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4299: Samuel Groβ (saelo) u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2018-4359: Samuel Groß (@5aelo)
CVE-2018-4358: tim @phoenhex (@bkth_ @5aelo @_niklasb) u suradnji s inicijativom Zero Day (Trend Micro)
Dodatna zahvala
Temeljni podaci
Na pomoći zahvaljujemo Andreasu Kurtzu (@aykay) (NESO Security Labs GmbH).
Profili s memorijom za testiranje
Na pomoći zahvaljujemo tvrtki Tencent Keen Security Lab i inicijativi Zero Day (Trend Micro).
SQLite
Na pomoći zahvaljujemo Andreasu Kurtzu (@aykay) (NESO Security Labs GmbH).
WebKit
Na pomoći zahvaljujemo tvrtki Tencent Keen Security Lab i inicijativi Zero Day (Trend Micro).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.