Informacije o sigurnosnom sadržaju sustava watchOS 4.3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 4.3.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
watchOS 4.3
CoreFoundation
Dostupno za: sve modele Apple Watch uređaja
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
Jezgreni tekst
Dostupno za: sve modele Apple Watch uređaja
Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge
Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)
Događaji datotečnog sustava
Dostupno za: sve modele Apple Watch uređaja
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4167: Samuel Groß (@5aelo)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4150: anonimni istraživač
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: neka aplikacija mogla bi čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2018-4143: derrek (@derrekr6)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije
Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.
CVE-2018-4185: Brandon Azad
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
Dostupno za: sve modele Apple Watch uređaja
Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)
CVE-2018-4391: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)
NSURLSession
Dostupno za: sve modele Apple Watch uređaja
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4166: Samuel Groß (@5aelo)
Brzi pregled
Dostupno za: sve modele Apple Watch uređaja
Učinak: aplikacije su mogle dobiti veće ovlasti
Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.
CVE-2018-4157: Samuel Groß (@5aelo)
Sigurnost
Dostupno za: sve modele Apple Watch uređaja
Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Postavke sustava
Dostupno za: sve modele Apple Watch uređaja
Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan
Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2018-4113: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4146: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4114: otkrio OSS-Fuzz
CVE-2018-4121: natashenka (Google Project Zero)
CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)
CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)
CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka
Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2018-4117: anonimni istraživač, anonimni istraživač
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4207: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4208: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4209: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar
Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.
CVE-2018-4210: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4212: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: neočekivana interakcija uzrokuje kvar ASSERT
Opis: taj je problem riješen poboljšanim provjerama.
CVE-2018-4213: otkrio OSS-Fuzz
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2018-4145: otkrio OSS-Fuzz
Dodatna zahvala
Na pomoći zahvaljujemo Sabriju Haddoucheu (@pwnsdx) iz tvrtke Wire Swiss GmbH.
Sigurnost
Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.