Om sikkerhetsinnholdet i watchOS 4.3
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 4.3.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple-produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple-produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
watchOS 4.3
CoreFoundation
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig streng kan føre til tjenestenekt
Beskrivelse: Et problem med tjenestenekt ble løst gjennom forbedret minnehåndtering.
CVE-2018-4142: Robin Leroy fra Google Switzerland GmbH
Filsystemhendelser
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4167: Samuel Groß (@5aelo)
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4150: en anonym forsker
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan lese begrenset minne
Beskrivelse: Et valideringsproblem ble løst gjennom forbedret rensing av inndata.
CVE-2018-4104: National Cyber Security Centre (NCSC) i Storbritannia
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4143: derrek (@derrekr6)
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjerneminnet
Beskrivelse: Det var et problem med avdekking av informasjon i overgangen av programtilstand. Problemet ble løst gjennom forbedret tilstandshåndtering.
CVE-2018-4185: Brandon Azad
libxml2
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til uventet programstopp for Safari
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst med forbedret minnestyring.
CVE-2017-15412: Nick Wellnhofer
LinkPresentation
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Besøk på et skadelig nettsted kan føre til falske adresselinjer
Beskrivelse: Et problem med inkonsistent brukergrensesnitt ble løst gjennom forbedret tilstandshåndtering.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) fra The City School, PAF Chapter
NSURLSession
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4166: Samuel Groß (@5aelo)
Hurtigvisning
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å få utvidede rettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom tilleggsvalidering.
CVE-2018-4157: Samuel Groß (@5aelo)
Sikkerhet
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et skadelig program kan heve rettigheter
Beskrivelse: En bufferoverflyt ble løst gjennom forbedret størrelsesvalidering.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Systemvalg
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En konfigurasjonsprofil kan feilaktig forbli aktiv etter fjerning
Beskrivelse: Det var et problem med CFPreferences. Problemet ble løst med forbedret rydding av preferanser.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov og Matt Vlasach fra Wandera
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet interaksjon med indekseringstyper forårsaker en ASSERT-feil
Beskrivelse: Det var et problem med utvalgsindeksering ved håndtering av en funksjon i JavaScriptCore. Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4113: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til tjenestenekt
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2018-4146: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4114: funnet av OSS-Fuzz
CVE-2018-4121: natashenka fra Google Project Zero
CVE-2018-4122: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4125: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4129: likemeng fra Baidu Security Lab som jobber med Trend Micros Zero Day Initiative
CVE-2018-4161: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4162: WanderingGlitch fra Trend Micros Zero Day Initiative
CVE-2018-4163: WanderingGlitch fra Trend Micros Zero Day Initiative
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et skadelig nettsted kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var et problem på tvers av opphav med Fetch API. Dette ble løst gjennom forbedret validering av inndata.
CVE-2018-4117: en anonym forsker, en anonym forsker
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4207: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4208: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4209: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet samhandling med indekseringstyper førte til en feil
Beskrivelse: Det var et problem med utvalgsindeksering ved håndtering av en funksjon i JavaScriptCore. Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4210: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4212: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Uventet samhandling fører til ASSERT-feil
Beskrivelse: Problemet ble løst gjennom forbedrede kontroller.
CVE-2018-4213: funnet av OSS-Fuzz
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2018-4145: funnet av OSS-Fuzz
Ytterligere anerkjennelse
E-post
Vi vil gjerne takke Sabri Haddouche (@pwnsdx) fra Wire Swiss GmbH for hjelpen.
Sikkerhet
Vi vil gjerne takke Abraham Masri (@cheesecakeufo) for hjelpen.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.