A watchOS 4.1 biztonsági tartalma
Ez a dokumentum a watchOS 4.1 biztonsági bejelentéseit és változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
watchOS 4.1
CoreText
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozása váratlan alkalmazásleálláshoz végrehajtásához vezetett.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2017-13849: Ro (SavSec)
Kernel
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-13799: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: A rosszindulatú alkalmazások információkat tudtak szerezni a készüléken lévő egyéb alkalmazások jelenlétéről és működéséről.
Leírás: Alkalmazások korlátlanul hozzá tudtak férni az operációs rendszer által kezelt folyamatinformációkhoz. Gyakoriságkorlátozással küszöbölték ki a problémát.
CVE-2017-13852: Xiaokuan Zhang és Yinqian Zhang (Ohio State University), Xueqiang Wang és XiaoFeng Wang (Indiana University Bloomington) és Xiaolong Bai (Tsinghua University)
StreamingZip
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: A rosszindulatú Zip-fájlok módosítani tudták a fájlrendszer korlátozott területeit.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy útvonalkezelési hibát.
CVE-2017-13804: @qwertyoruiopz (KJC Research Intl.) S.R.L.
Wi-Fi
Egyik Apple Watch modellt sem érinti ez a biztonsági rés.
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s unicast-/PTK-kliensekben (Key Reinstallation Attacks – KRACK)
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-13077: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
CVE-2017-13078: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
Wi-Fi
A következőkhöz érhető el: Apple Watch Series 1 és Apple Watch Series 2
Érintett terület: A Wi-Fi-hatókörön belül tartózkodó támadók ki tudták kényszeríteni az egyszeri kulcsok ismételt használatát a WPA-s multicast-/GTK-kliensekben (Key Reinstallation Attacks – KRACK)
Leírás: Logikai probléma lépett fel az állapotváltások kezelésekor. Hatékonyabb állapotkezeléssel küszöbölték ki a problémát.
CVE-2017-13080: Mathy Vanhoef (imec-DistriNet csoport, KU Leuven)
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.