Zawartość związana z zabezpieczeniami w systemie watchOS 4.3.1

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 4.3.1.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

watchOS 4.3.1

Bluetooth

Zagrożenie nie dotyczy: zegarka Apple Watch Series 3

Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może być w stanie przechwycić ruch Bluetooth.

CVE-2018-5383: Lior Neumann i Eli Biham

CoreGraphics

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4194: Jihui Lu z Tencent KeenLab, Yu Zhou z Ant-financial Light-Year Security Lab

Crash Reporter

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi błędów.

CVE-2018-4206: Ian Beer z Google Project Zero

FontParser

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie sprawdzania poprawności.

CVE-2018-4211: Proteas z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2018-4241: Ian Beer z Google Project Zero

CVE-2018-4243: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4249: Kevin Backhouse z Semmle Ltd.

libxpc

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.

Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.

CVE-2018-4237: Samuel Groß (@5aelo) w ramach programu Zero Day Initiative firmy Trend Micro

libxpc

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4404: Samuel Groß (@5aelo) w ramach programu Zero Day Initiative firmy Trend Micro

LinkPresentation

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości tekstowej może doprowadzić do podrobienia interfejsu użytkownika.

Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z Tencent Security Platform Department

Wiadomości

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie przeprowadzić atak, podając się za kogoś innego.

Opis: usunięto błąd dotyczący wstawiania danych przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4235: Anurodh Pokharel z Salesforce.com

Wiadomości

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: ten błąd usunięto przez poprawienie procedury sprawdzania poprawności wiadomości.

CVE-2018-4240: Sriram (@Sri_Hxor) z PrimeFort Pvt. Ltd

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie odczytać trwały identyfikator urządzenia.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie zmodyfikować stan pęku kluczy.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie odczytać trwały identyfikator konta.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może wyświetlić poufne informacje użytkownika.

Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

UIKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego mogło doprowadzić do ataku typu „odmowa usługi”.

Opis: w procedurze obsługi tekstu występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności tekstu.

CVE-2018-4198: Hunter Byrnes

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2018-4192: Markus Gaasedelen, Amy Burnett i Patrick Biernat z Ret2 Systems, Inc w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do nieoczekiwanej awarii przeglądarki Safari.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4214: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2018-4246: wykryte przez OSS-Fuzz

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2018-4201: anonimowy badacz

CVE-2018-4218: natashenka z Google Project Zero

CVE-2018-4233: Samuel Gross (@5aelo) w ramach programu Zero Day Initiative firmy Trend Micro

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2018-4222: natashenka z Google Project Zero