Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
watchOS 4
Izdano 19. rujna 2017.
802.1X
Dostupno za: sve modele Apple Watch uređaja
Učinak: napadači su mogli iskoristiti slabe točke u TLS-u 1.0
Opis: problem sa sigurnošću protokola riješen je tako da su omogućeni TLS 1.1 i TLS 1.2.
CVE-2017-13832: Doug Wussler (Floridsko sveučilište)
Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.
CFNetwork
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13829: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-13833: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
Unos dodan 10. studenoga 2017.
CFNetwork proxyji
Dostupno za: sve modele Apple Watch uređaja
Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
Unos dodan 25. rujna 2017.
CFString
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13821: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017.
CoreAudio
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: čitanje ograničene memorije riješeno je ažuriranjem na Opus verzije 1.1.4.
CVE-2017-0381: V.E.O ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))
Unos dodan 25. rujna 2017.
Jezgreni tekst
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13825: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017., ažuriran 16. studenoga 2018.
datoteka
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u datoteci
Opis: veći broj problema riješen je ažuriranjem na verziju 5.31.
CVE-2017-13815: otkrio OSS-Fuzz
Unos dodan 31. listopada 2017., ažuriran 18. listopada 2018.
Fontovi
Dostupno za: sve modele Apple Watch uređaja
Učinak: obrada teksta iz nepouzdanog izvora mogla je dovesti do lažnog predstavljanja
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-13828: Leonard Grey i Robert Sesek (Google Chrome)
Unos dodan 31. listopada 2017., ažuriran 10. studenoga 2017.
HFS
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13830: Sergej Schumilo (sveučilište Ruhr-Universität Bochum)
Unos dodan 31. listopada 2017.
Ulaz i izlaz slika
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13814: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Unos dodan 31. listopada 2017., ažuriran 16. studenoga 2018.
Ulaz i izlaz slika
Dostupno za: sve modele Apple Watch uređaja
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13831: Glen Carmichael
Unos dodan 31. listopada 2017., ažuriran 3. travnja 2019.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13817: Maxime Villard (m00nbsd)
Unos dodan 31. listopada 2017.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13818: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: anonimni istraživač
Unos dodan 31. listopada 2017., ažuriran 18. lipnja 2018.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13843: anonimni istraživač, anonimni istraživač
Unos dodan 31. listopada 2017.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Unos dodan 25. rujna 2017.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13854: shrek_wzw (tim Nirvan tvrtke Qihoo 360)
Unos dodan 2. studenoga 2017.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom oštećenog mach binarnog formata može doći do izvršavanja proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-13834: Maxime Villard (m00nbsd)
Unos dodan 10. studenoga 2017.
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: zlonamjerne aplikacije mogu otkriti podatke o prisutnosti i radu drugih aplikacija na uređaju.
Opis: aplikacija je mogla pristupiti podacima o mrežnoj aktivnosti koje operacijski sustav nije ograničio. Taj je problem riješen smanjivanjem broja podataka dostupnih aplikacijama drugih proizvođača.
CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)
Unos dodan 30. studenoga 2017.
libarchive
Dostupno za: sve modele Apple Watch uređaja
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13813: otkrio OSS-Fuzz
CVE-2017-13816: otkrio OSS-Fuzz
Unos dodan 31. listopada 2017.
libarchive
Dostupno za: sve modele Apple Watch uređaja
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: u biblioteci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.
CVE-2017-13812: otkrio OSS-Fuzz
Unos dodan 31. listopada 2017.
libc
Dostupno za: sve modele Apple Watch uređaja
Učinak: udaljeni napadači mogli su izazvati odbijanje usluge
Opis: problem s pražnjenjem resursa u entitetu glob() riješen je poboljšanim algoritmom.
CVE-2017-7086: Russ Cox (Google)
Unos dodan 25. rujna 2017.
libc
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle izazvati odbijanje usluge
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-1000373
Unos dodan 25. rujna 2017.
libexpat
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u biblioteci expat
Opis: veći broj problema riješen je ažuriranjem na verziju 2.2.1
CVE-2016-9063
CVE-2017-9233
Unos dodan 25. rujna 2017.
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-9049: Wei Lei i Liu Yang – Tehnološko sveučilište u Nanjangu u Singapuru
Unos dodan 18. listopada 2018.
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7376: anonimni istraživač
CVE-2017-5130: anonimni istraživač
Unos dodan 18. listopada 2018.
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)
Unos dodan 18. listopada 2018.
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2018-4302: Gustavo Grieco
Unos dodan 18. listopada 2018.
Sigurnost
Dostupno za: sve modele Apple Watch uređaja
Učinak: neki opozvani certifikati mogli su se tretirati kao pouzdani
Opis: u rukovanju opozvanim podacima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-7080: anonimni istraživač, Sven Driemecker (adesso mobile solutions gmbh), anonimni istraživač, Rune Darrud (@theflyingcorpse (Bærum kommune))
Unos dodan 25. rujna 2017.
SQLite
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u bazi podataka SQLite
Opis: veći broj problema riješen je ažuriranjem na verziju 3.19.3.
CVE-2017-10989: otkrio OSS-Fuzz
CVE-2017-7128: otkrio OSS-Fuzz
CVE-2017-7129: otkrio OSS-Fuzz
CVE-2017-7130: otkrio OSS-Fuzz
Unos dodan 25. rujna 2017.
SQLite
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7127: anonimni istraživač
Unos dodan 25. rujna 2017.
Wi-Fi
Dostupno za: sve modele Apple Watch uređaja
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: sve modele Apple Watch uređaja
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do čitanja ograničene kernelske memorije
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
zlib
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u biblioteci zlib
Opis: veći broj problema riješen je ažuriranjem na verziju 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Unos dodan 25. rujna 2017.
Dodatna zahvala
Sigurnost
Na pomoći zahvaljujemo Abhinavu Bansalu (Zscaler, Inc.).