A watchOS 5 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 5 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

watchOS 5

Kiadási dátum: 2018. szeptember 17.

CFNetwork

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4126: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Bejegyzés hozzáadva: 2018. október 30.

CoreFoundation

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4412: National Cyber Security Centre (NCSC, Egyesült Királyság)

Bejegyzés hozzáadva: 2018. október 30.

CoreFoundation

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4414: National Cyber Security Centre (NCSC, Egyesült Királyság)

Bejegyzés hozzáadva: 2018. október 30.

CoreText

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szövegfájlok feldolgozásakor tetszőleges kódvégrehajtásra került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2018-4347: anonim kutató

Bejegyzés hozzáadva: 2018. október 30.

dyld

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások módosítani tudták a fájlrendszer védett részeit.

Leírás: További korlátozásokkal elhárítottunk egy konfigurációs hibát.

CVE-2018-4433: Vitaly Cheptsov

Bejegyzés hozzáadva: 2019. január 22.

Grand Central Dispatch

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4426: Brandon Azad

Bejegyzés hozzáadva: 2018. október 30.

Heimdal

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Bejegyzés hozzáadva: 2018. október 30.

IOHIDFamily

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4408: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2018. október 30., frissítve: 2019. augusztus 1.

IOKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások adott esetben ki tudtak törni a sandboxból.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4341: Ian Beer (Google Project Zero)

CVE-2018-4354: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2018. október 30.

IOKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4383: Apple

Bejegyzés hozzáadva 2018. október 24-én.

IOUserEthernet

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4401: Apple

Bejegyzés hozzáadva: 2018. október 30.

iTunes Store

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A magas hálózati jogosultságú támadók meg tudták hamisítani a jelszó megerősítésére szolgáló párbeszédpaneleket az iTunes Store-ban.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy beviteli érvényesség-ellenőrzési problémát.

CVE-2018-4305: Jerry Decime

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteli érvényesség-ellenőrzési probléma állt fenn a kernelben. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4363: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer (Google Project Zero)

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: National Cyber Security Centre (NCSC, Egyesült Királyság)

CVE-2018-4425: cc, a Trend Micro Zero Day Initiative kezdeményezésének keretében, Juwei Lin (@panicaII; Trend Micro), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Bejegyzés hozzáadva 2018. szeptember 24-én, frissítve 2018. október 30-án.

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások ki tudtak szivárogtatni bizalmas jellegű információkat.

Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozásokkal hárítottuk el a problémát.

CVE-2018-4399: Fabiano Anemone (@anoane)

Bejegyzés hozzáadva: 2018. október 30.

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A magas hálózati jogosultságú támadók tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4407: Kevin Backhouse (Semmle Ltd.)

Bejegyzés hozzáadva: 2018. október 30.

Safari

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A helyi felhasználó adott esetben ki tudta deríteni, hogy egy adott felhasználó milyen webhelyeket látogatott meg.

Leírás: Nem volt elég konzisztens az alkalmazásokról készült pillanatfelvételek kezelése. Az alkalmazás-pillanatfelvételek kezelésének javításával hárítottuk el a problémát.

CVE-2018-4313: 11 anonim kutató, David Scott, Enes Mert Ulu (Abdullah Mürşide Özünenek Anadolu Lisesi – Ankara/Türkiye), Mehmet Ferit Daştan (Van Yüzüncü Yıl Egyetem), Metin Altug Karakaya (Kaliptus Medical Organization), Vinodh Swami (Western Governor's University (WGU))

Biztonság

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A támadók ki tudták használni az RC4 kriptografikus algoritmusban fennálló réseket.

Leírás: Az RC4 algoritmus eltávolításával hárítottuk el a problémát.

CVE-2016-1777: Pepi Zawodsky

Biztonság

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4395: Patrick Wardle (Digita Security)

Bejegyzés hozzáadva: 2018. október 30.

Symptom Framework

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltünk egy határérték-olvasási hibát.

CVE-2018-4203: Bruno Keith (@bkth_), a Trend Micro Zero Day Initiative kezdeményezésének keretében

Bejegyzés hozzáadva: 2018. október 30.

Szöveg

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott szöveges fájlok feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2018-4304: jianan.huang (@Sevck)

Bejegyzés hozzáadva: 2018. október 30.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott webhelyek váratlanul eltérő forrású viselkedést tudtak okozni.

Leírás: Eltérő eredetű adatokat érintő probléma állt fenn az iframe-elemek esetén. A biztonsági eredetek hatékonyabb nyomon követésével hárítottuk el a hibát.

CVE-2018-4319: John Pettitt (Google)

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriafelhasználási hibát.

CVE-2018-4361: az OSS-Fuzz fedezte fel

CVE-2018-4474: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva: 2018. szeptember 24., frissítve: 2019. január 22.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Váratlan interakció ASSERT hibát okozott.

Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4191: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A különböző forrású SecurityErrors magában foglalta az elért keret eredetét.

Leírás: Az eredetre vonatkozó információk eltávolításával hárítottuk el a hibát.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Bejegyzés hozzáadva: 2018. szeptember 24.

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4299: Samuel Groβ (saelo), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Bejegyzés hozzáadva: 2018. szeptember 24.

További köszönetnyilvánítás

Core Data

Köszönjük Andreas Kurtz (@aykay; NESO Security Labs GmbH) segítségét.

Sandbox-profilok

Köszönjük Tencent Keen Security Lab (a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.

SQLite

Köszönjük Andreas Kurtz (@aykay; NESO Security Labs GmbH) segítségét.

WebKit

Köszönjük Tencent Keen Security Lab (a Trend Micro Zero Day Initiative kezdeményezésének közreműködője) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: