Informacije o sigurnosnom sadržaju sustava watchOS 5

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 5.

Informacije o Appleovim sigurnosnim ažuriranjima

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

watchOS 5

Objavljeno 17. rujna 2018.

CFNetwork

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4126: Bruno Keith (@bkth_) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 30. listopada 2018.

CoreFoundation

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogu dodijeliti ovlasti visokog stupnja

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4412: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

Unos je dodan 30. listopada 2018.

CoreFoundation

Dostupno za: Apple Watch Series 1 i novije

Učinak: aplikacije mogu dobiti veće ovlasti

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4414: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

Unos je dodan 30. listopada 2018.

Jezgreni tekst

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjerne tekstne datoteke može doći do izvršavanja proizvoljnog programskog koda

Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4347: anonimni istraživač

Unos je dodan 30. listopada 2018.

dyld

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerna aplikacija može izmijeniti zaštićene dijelove datotečnog sustava

Opis: problem s konfiguracijom riješen je dodatnim ograničenjima.

CVE-2018-4433: Vitaly Cheptsov

Unos dodan 22. siječnja 2019.

Središnji dispečerski centar

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4426: Brandon Azad

Unos je dodan 30. listopada 2018.

Heimdal

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz sistemske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Unos je dodan 30. listopada 2018.

IOHIDFamily

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz kernelske ovlasti zlonamjerna aplikacija može izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4408: Ian Beer (Google Project Zero)

Unos dodan 30. listopada 2018., ažuriran 1. kolovoza 2019.

IOKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerne aplikacije mogu izaći izvan ograničene memorije

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4341: Ian Beer (Google Project Zero)

CVE-2018-4354: Ian Beer (Google Project Zero)

Unos je dodan 30. listopada 2018.

IOKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem stanjem.

CVE-2018-4383: Apple

Unos dodan 24. listopada 2018.

IOUserEthernet    

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4401: Apple

Unos je dodan 30. listopada 2018.

iTunes Store

Dostupno za: Apple Watch Series 1 i novije

Učinak: napadači s mrežnim ovlastima mogu krivotvoriti zahtjeve za unos lozinke na servisu iTunes Store

Opis: problem s provjerom valjanosti ulaznih podataka riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4305: Jerry Decime

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: u kernelu je otkriven problem s provjerom valjanosti ulaza. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2018-4363: Ian Beer (Google Project Zero)

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer (Google Project Zero)

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)

CVE-2018-4425: cc u suradnji s inicijativom Zero Day (Trend Micro), Juwei Lin (@panicaII) (Trend Micro) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 24. rujna 2018., ažuriran 30. listopada 2018.

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerna aplikacija može odati osjetljive korisničke informacije

Opis: otkriven je problem s pristupom prilikom API poziva s ovlastima. Problem je riješen dodatnim ograničenjima.

CVE-2018-4399: Fabiano Anemone (@anoane)

Unos je dodan 30. listopada 2018.

Kernel

Dostupno za: Apple Watch Series 1 i novije

Učinak: napadač s mrežnim ovlastima može izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Unos je dodan 30. listopada 2018.

Safari

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnik može otkriti web-mjesta koja je neki korisnik posjetio

Opis: otkriven je problem s dosljednošću u rukovanju snimkama aplikacija. Problem je riješen poboljšanim rukovanjem snimkama aplikacija.

CVE-2018-4313: 11 anonimnih istraživača, David Scott, Enes Mert Ulu (Abdullah Mürşide Özünenek Anadolu Lisesi, Ankara/Turska), Mehmet Ferit Daştan (Sveučilište Van Yüzüncü Yıl), Metin Altug Karakaya (Kaliptus Medical Organization), Vinodh Swami (Sveučilište Western Governor's University (WGU))

Sigurnost

Dostupno za: Apple Watch Series 1 i novije

Učinak: napadači mogu iskoristiti slabe točke kriptografskog algoritma RC4

Opis: problem je riješen uklanjanjem algoritma RC4.

CVE-2016-1777: Pepi Zawodsky

Sigurnost

Dostupno za: Apple Watch Series 1 i novije

Učinak: lokalni korisnik može izazvati odbijanje usluge

Opis: taj je problem riješen poboljšanim provjerama.

CVE-2018-4395: Patrick Wardle (Digita Security)

Unos je dodan 30. listopada 2018.

Platforma za prepoznavanje simptoma

Dostupno za: Apple Watch Series 1 i novije

Učinak: neke aplikacije mogu čitati ograničenu memoriju

Opis: problem s čitanjem izvan dopuštenog opsega riješen je poboljšanom provjerom ograničenja.

CVE-2018-4203: Bruno Keith (@bkth_) u suradnji s inicijativom Zero Day (Trend Micro)

Unos je dodan 30. listopada 2018.

Tekst

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjerne tekstne datoteke moglo se uzrokovati odbijanje usluge

Opis: problem s odbijanjem usluge riješen je poboljšanom provjerom valjanosti.

CVE-2018-4304: jianan.huang (@Sevck)

Unos je dodan 30. listopada 2018.

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: zlonamjerno web-mjesto može izazvati neočekivano ponašanje u više izvora

Opis: u iframe elementima postojao je problem s više izvora. To je riješeno poboljšanim praćenjem izvora sigurnosti.

CVE-2018-4319: John Pettitt (Google)

Unos dodan 24. rujna 2018.

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2018-4361: otkrio OSS-Fuzz

CVE-2018-4474: otkrio OSS-Fuzz

Unos dodan 24. rujna 2018., ažuriran 22. siječnja 2019.

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: neočekivana interakcija uzrokuje kvar ASSERT

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti.

CVE-2018-4191: otkrio OSS-Fuzz

Unos dodan 24. rujna 2018.

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: svojstvo SecurityErrors iz više izvora sadrži izvor okvira kojem je pristupljeno

Opis: problem je riješen uklanjanjem podataka o izvoru.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Unos dodan 24. rujna 2018.

WebKit

Dostupno za: Apple Watch Series 1 i novije

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2018-4299: Samuel Groβ (saelo) u suradnji s inicijativom Zero Day (Trend Micro)

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4358: tim @phoenhex (@bkth_ @5aelo @_niklasb) u suradnji s inicijativom Zero Day (Trend Micro)

Unos dodan 24. rujna 2018.

Dodatna zahvala

Temeljni podaci

Na pomoći zahvaljujemo Andreasu Kurtzu (@aykay) (NESO Security Labs GmbH).

Profili s memorijom za testiranje

Na pomoći zahvaljujemo tvrtki Tencent Keen Security Lab i inicijativi Zero Day (Trend Micro).

SQLite

Na pomoći zahvaljujemo Andreasu Kurtzu (@aykay) (NESO Security Labs GmbH).

WebKit

Na pomoći zahvaljujemo tvrtki Tencent Keen Security Lab i inicijativi Zero Day (Trend Micro).

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ni proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Prilikom korištenja interneta uvijek postoje rizici. Obratite se davatelju usluge da biste saznali više. Nazivi drugih tvrtki i proizvoda mogu biti robne marke svojih vlasnika.

Datum objave: