A watchOS 5.1.2 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 5.1.2 biztonsági változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

watchOS 5.1.2

Airport

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy típustévesztési hibát.

CVE-2018-4303: Mohamed Ghannam (@_simo36)

Lemezképek

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4427: Pangu Team

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4431: Egy független biztonsági kutató jelentette ezt a biztonsági rést a Beyond Security által vezetett SecuriTeam Secure Disclosure programnak

CVE-2018-4448: Brandon Azad

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Elhárítottunk egy szolgáltatásmegtagadási hibát a sebezhető kód eltávolításával.

CVE-2018-4460: Kevin Backhouse (Semmle Security Research Team)

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriainicializálási hibát.

CVE-2018-4431: Egy független biztonsági kutató jelentette ezt a biztonsági rést a Beyond Security által vezetett SecuriTeam Secure Disclosure programnak

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb állapotkezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4447: Juwei Lin(@panicaII) és Zhengyu Dong (TrendMicro Mobile Security Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A rosszindulatú alkalmazások magasabb szintű jogosultságokat tudtak szerezni.

Leírás: Hatékonyabb korlátozásokkal hárítottunk el egy logikai hibát.

CVE-2018-4435: Jann Horn (Google Project Zero), Juwei Lin(@panicaII) és Junzhi Lu (TrendMicro Mobile Security Team), a Trend Micro Zero Day Initiative kezdeményezésének közreműködőjeként

Kernel

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4461: Ian Beer (Google Project Zero)

LinkPresentation

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Az ártó szándékkal létrehozott e-mailek feldolgozásakor meghamisítható volt a felhasználói felület.

Leírás: Kanonizálási probléma lépett fel az URL-címek kezelésekor. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémát.

CVE-2018-4429: Victor Le Pochat (imec-DistriNet, KU Leuven)

Profilok

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy a nem megbízható konfigurációs profilok ellenőrzött profilokként jelentek meg.

Leírás: Tanúsítványhitelesítési probléma állt fenn a konfigurációs profilokban. További ellenőrzésekkel hárítottuk el a problémát.

CVE-2018-4436: James Seeley @Code4iOS, Joseph S. (JJS Securities)

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2018-4437: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)

CVE-2018-4464: HyungSeok Han, DongHyeon Oh és Sang Kil Cha (KAIST Softsec Lab, Korea)

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy memóriasérülési hibát.

CVE-2018-4441: lokihardt (Google Project Zero)

CVE-2018-4442: lokihardt (Google Project Zero)

CVE-2018-4443: lokihardt (Google Project Zero)

WebKit

A következőkhöz érhető el: Apple Watch Series 1 és újabb modellek

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Memóriasérülést kiváltó logikai probléma állt fenn. Hatékonyabb állapotkezeléssel küszöböltuk ki a problémát.

CVE-2018-4438: lokihardt (Google Project Zero), Qixun Zhao (Qihoo 360 Vulcan Team)