Mengenai konten keamanan watchOS 4.3.1

Dokumen ini menjelaskan konten keamanan watchOS 4.3.1.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan sebelum investigasi dilakukan dan perbaikan program atau rilis tersedia. Rilis terbaru tercantum pada halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, buka halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi mengenai kerentanan menurut CVE-ID jika memungkinkan.

watchOS 4.3.1

Dirilis 29 Mei 2018

Bluetooth

Tidak terdampak: Apple Watch Series 3

Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa mungkin dapat mencegat lalu lintas Bluetooth

CVE-2018-5383: Lior Neumann dan Eli Biham

Entri ditambahkan 23 Juli 2018

CoreGraphics

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2018-4194: Jihui Lu dari Tencent KeenLab, Yu Zhou dari Ant-financial Light-Year Security Lab

Entri ditambahkan 21 Juni 2018

Pelapor Crash

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan kesalahan yang ditingkatkan.

CVE-2018-4206: Ian Beer dari Google Project Zero

FontParser

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi yang ditingkatkan.

CVE-2018-4211: Proteas dari Qihoo 360 Nirvan Team

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kelebihan buffer telah diatasi dengan pemeriksaan batas yang ditingkatkan.

CVE-2018-4241: Ian Beer dari Google Project Zero

CVE-2018-4243: Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4249: Kevin Backhouse dari Semmle Ltd.

libxpc

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi dapat memperoleh hak istimewa yang lebih tinggi

Deskripsi: Masalah logika telah diatasi dengan validasi yang ditingkatkan.

CVE-2018-4237: Samuel Groß (@5aelo) bekerja sama dengan Zero Day Initiative dari Trend Micro

libxpc

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

Deskripsi: Masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4404: Samuel Groß (@5aelo) bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri ditambahkan 1 Agustus 2019

LinkPresentation

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses pesan teks perusak berbahaya dapat mengakibatkan pemalsuan UI

Deskripsi: Masalah pemalsuan terjadi saat menangani URL. Masalah ini telah diatasi dengan validasi yang ditingkatkan.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) dari Tencent Security Platform Department

Entri ditambahkan 1 Agustus 2019

Pesan

Tersedia untuk: Semua model Apple Watch

Dampak: Pengguna lokal dapat melakukan serangan penyamaran

Deskripsi: Masalah injeksi telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4235: Anurodh Pokharel dari Salesforce.com

Pesan

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses pesan perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah ini telah diatasi dengan validasi pesan yang ditingkatkan.

CVE-2018-4240: Sriram (@Sri_Hxor) dari PrimeFort Pvt. Ltd

Keamanan

Tersedia untuk: Semua model Apple Watch

Dampak: Pengguna lokal mungkin dapat membaca pengenal perangkat permanen

Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Keamanan

Tersedia untuk: Semua model Apple Watch

Dampak: Pengguna lokal mungkin dapat memodifikasi status Rantai Kunci

Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Keamanan

Tersedia untuk: Semua model Apple Watch

Dampak: Pengguna lokal mungkin dapat membaca pengenal akun permanen

Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Keamanan

Tersedia untuk: Semua model Apple Watch

Dampak: Pengguna lokal dapat melihat informasi rahasia pengguna

Deskripsi: Masalah otorisasi telah diatasi dengan pengelolaan kondisi yang ditingkatkan.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

UIKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file teks perusak berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Masalah validasi muncul saat menangani teks. Masalah ini telah diatasi dengan validasi teks yang ditingkatkan.

CVE-2018-4198: Hunter Byrnes

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kondisi pacu telah diatasi dengan penguncian yang ditingkatkan.

CVE-2018-4192: Markus Gaasedelen, Amy Burnett, dan Patrick Biernat dari Ret2 Systems, Inc bekerja sama dengan Zero Day Initiative dari Trend Micro

Entri diperbarui pada 8 Oktober 2019

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan Safari berhenti secara tiba-tiba

Deskripsi: Masalah kerusakan memori telah diatasi dengan validasi input yang ditingkatkan.

CVE-2018-4214: ditemukan oleh OSS-Fuzz

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4246: ditemukan oleh OSS-Fuzz

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi dengan penanganan memori yang ditingkatkan.

CVE-2018-4201: peneliti anonim

CVE-2018-4218: natashenka dari Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) bekerja sama dengan Zero Day Initiative dari Trend Micro

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang ditingkatkan.

CVE-2018-4222: natashenka dari Google Project Zero

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: