Informacije o sigurnosnom sadržaju sustava watchOS 4.3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 4.3.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

watchOS 4.3

Objavljeno 29. ožujka 2018.

CoreFoundation

Dostupno za: sve modele Apple Watch uređaja

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4155: Samuel Groß (@5aelo)

CVE-2018-4158: Samuel Groß (@5aelo)

Jezgreni tekst

Dostupno za: sve modele Apple Watch uređaja

Učinak: obrada zlonamjernog niza mogla je izazvati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4142: Robin Leroy (Google Switzerland GmbH)

Unos ažuriran 16. studenoga 2018.

Događaji datotečnog sustava

Dostupno za: sve modele Apple Watch uređaja

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4167: Samuel Groß (@5aelo)

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4150: anonimni istraživač

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: neka aplikacija mogla bi čitati ograničenu memoriju

Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.

CVE-2018-4104: britanski Nacionalni centar za kibernetičku sigurnost (NCSC)

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: uz kernelske ovlasti neka aplikacija mogla bi izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4143: derrek (@derrekr6)

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: zlonamjerna aplikacija može odrediti raspored elemenata kernelske memorije

Opis: u prijelazu između stanja programa otkriven je problem s otkrivanjem podataka. Taj je problem riješen poboljšanim rukovanjem stanjem.

CVE-2018-4185: Brandon Azad

Unos je dodan 19. srpnja 2018.

libxml2

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do rušenja preglednika Safari

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2017-15412: Nick Wellnhofer

Unos je dodan 18. listopada 2018.

LinkPresentation

Dostupno za: sve modele Apple Watch uređaja

Učinak: posjet zlonamjernom web-mjestu može izazvati krivotvorenje adresne trake

Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4390: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)

CVE-2018-4391: Rayyan Bijoora (@Bijoora) (The City School, PAF Chapter)

Unos dodan 30. listopada 2018., ažuriran 16. studenoga 2018.

NSURLSession

Dostupno za: sve modele Apple Watch uređaja

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4166: Samuel Groß (@5aelo)

Brzi pregled

Dostupno za: sve modele Apple Watch uređaja

Učinak: aplikacije su mogle dobiti veće ovlasti

Opis: uvjet nadvladavanja riješen je dodatnom provjerom valjanosti.

CVE-2018-4157: Samuel Groß (@5aelo)

Sigurnost

Dostupno za: sve modele Apple Watch uređaja

Učinak: zlonamjerna aplikacija mogla bi povećati ovlasti

Opis: problem s prekoračenjem međuspremnika riješen je poboljšanom provjerom valjanosti veličina.

CVE-2018-4144: Abraham Masri (@cheesecakeufo)

Postavke sustava

Dostupno za: sve modele Apple Watch uređaja

Učinak: konfiguracijski profil mogao je i nakon uklanjanja ostati pogrešno aktivan

Opis: u modulu CFPreferences postojao je problem. Problem je riješen poboljšanim čišćenjem postavki.

CVE-2018-4115: Johann Thalakada, Vladimir Zubkov i Matt Vlasach (Wandera)

Unos ažuriran 16. studenoga 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je pogrešku ASSERT

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2018-4113: otkrio OSS-Fuzz

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja moglo se izazvati odbijanje usluge

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4146: otkrio OSS-Fuzz

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja moglo bi doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4114: otkrio OSS-Fuzz

CVE-2018-4121: natashenka (Google Project Zero)

CVE-2018-4122: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4125: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4129: likemeng (Baidu Security Lab) i inicijativa Zero Day (Trend Micro)

CVE-2018-4161: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4162: WanderingGlitch inicijative Zero Day (Trend Micro)

CVE-2018-4163: WanderingGlitch inicijative Zero Day (Trend Micro)

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: zlonamjerne internetske stranice mogle su doznati sve izvore podataka

Opis: prilikom dohvaćanja API-ja postojao je problem različitih izvora. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4117: anonimni istraživač, anonimni istraživač

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4207: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4208: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4209: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija s vrstama indeksiranja uzrokovala je kvar

Opis: pri rukovanju funkcijom u jezgri javascripta postojao je problem s indeksiranjem polja. Taj je problem riješen poboljšanom provjerom autentičnosti.

CVE-2018-4210: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4212: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4213: otkrio OSS-Fuzz

Unos dodan 2. svibnja 2018.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja može doći do izvršavanja koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4145: otkrio OSS-Fuzz

Unos je dodan 18. listopada 2018.

Dodatna zahvala

Mail

Na pomoći zahvaljujemo Sabriju Haddoucheu (@pwnsdx) iz tvrtke Wire Swiss GmbH.

Unos je dodan 21. lipnja 2018.

Sigurnost

Na pomoći zahvaljujemo Abrahamu Masriju (@cheesecakeufo).

Unos je dodan 13. travnja 2018.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: