A watchOS 5.1 biztonsági változásjegyzéke
Ez a dokumentum a watchOS 5.1 biztonsági változásjegyzékét ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
watchOS 5.1
AppleAVD
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel hárítottunk el egy memóriasérülési hibát.
CVE-2018-4384: Natalie Silvanovich (Google Project Zero)
CoreCrypto
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A támadók a Miller-Rabin-prímtesztben fennálló rések kihasználásával helytelenül tudtak beazonosítani prímszámokat.
Leírás: Probléma állt fenn a prímszámok meghatározásához használt módszerrel. Azáltal hárítottuk el a problémát, hogy pszeudovéletlen alapokat használunk a prímszámok teszteléséhez.
CVE-2018-4398: Martin Albrecht, Jake Massimo és Kenny Paterson (Royal Holloway, University of London) és Juraj Somorovsky (Ruhr University, Bochum)
ICU
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott karakterláncok feldolgozásakor sérült a halommemória.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4394: Erik Verbruggen (The Qt Company)
IPSec
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Az alkalmazások magasabb jogosultságokat tudtak szerezni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy határérték-olvasási hibát.
CVE-2018-4371: Tim Michaud (@TimGMichaud; Leviathan Security Group)
Kernel
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Elhárítottunk egy memóriasérülési hibát a sebezhető kód eltávolításával.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Kernel
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.
CVE-2018-4413: Juwei Lin (@panicaII; TrendMicro Mobile Security Team)
Kernel
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.
CVE-2018-4419: Mohamed Ghannam (@_simo36)
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy erőforrásfogyással kapcsolatos hibát.
CVE-2018-4381: Angel Ramirez
NetworkExtension
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Előfordult, hogy VPN-kiszolgálóhoz csatlakozva egy DNS-proxyhoz kerültek DNS-kérelmek.
Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy logikai problémát.
CVE-2018-4369: anonim kutató
Safari-olvasó
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.
Leírás: Hatékonyabb ellenőrzéssel elhárítottunk egy logikai hibát.
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
Safari-olvasó
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A Safari Olvasó ártó szándékkal létrehozott weboldalon való engedélyezése webhelyek közötti, parancsfájlt alkalmazó univerzális támadásokra adott lehetőséget.
Leírás: Webhelyek közötti, parancsfájlt alkalmazó támadással összefüggő probléma állt fenn a Safari böngészőben. Hatékonyabb URL-ellenőrzéssel hárítottuk el a problémát.
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
Biztonság
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Előfordult, hogy az S/MIME-aláírással ellátott üzenetek feldolgozásakor szolgáltatásmegtagadás lépett fel.
Leírás: Hatékonyabb logika alkalmazásával elhárítottunk egy hitelesítési hibát.
CVE-2018-4400: Yukinobu Nagayasu (LAC Co., Ltd.)
WebKit
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2018-4372: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)
CVE-2018-4373: ngg, alippai, DirtYiCE, KT (Tresorit), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4375: Yu Haiwan és Wu Hongjun (Nanyang Technological University), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4376: 010, a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként
CVE-2018-4382: lokihardt (Google Project Zero)
CVE-2018-4386: lokihardt (Google Project Zero)
CVE-2018-4392: zhunki (360 ESG Codesafe Team)
CVE-2018-4416: lokihardt (Google Project Zero)
WebKit
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor egy programkód végrehajtására került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy memóriasérülési hibát.
CVE-2018-4378: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea), zhunki (360 ESG Codesafe Team)
Wi-Fi
A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek
Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel hárítottunk el egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2018-4368: Milan Stute és Alex Mariotto (Secure Mobile Networking Lab, Technische Universität Darmstadt)
További köszönetnyilvánítás
Tanúsítvány-aláírás
Köszönjük Yiğit Can YILMAZ (@yilmazcanyigit) segítségét.
coreTLS
Köszönjük Eyal Ronen (Weizmann Institute), Robert Gillham (University of Adelaide), Daniel Genkin (University of Michigan), Adi Shamir (Weizmann Institute), David Wong (NCC Group) és Yuval Yarom (University of Adelaide és Data61) segítségét.
Safari-olvasó
Köszönjük Ryan Pickren (ryanpickren.com) segítségét.
Biztonság
Köszönjük Marinos Bernitsas (Parachute) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.