Zawartość związana z zabezpieczeniami w systemie watchOS 4.2

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Wydano 5 grudnia 2017 r.

Sesja CFNetwork

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7172: Richard Zhu (fluorescence) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 22 stycznia 2018 r.

CoreAnimation

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7171: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro i Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 22 stycznia 2018 r.

IOKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 21 grudnia 2017 r., uaktualniono 10 stycznia 2018 r.

IOSurface

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13861: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13904: Kevin Backhouse z Semmle Ltd.

Wpis dodano 14 lutego 2018 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.

Opis: w jądrze występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-7154: Jann Horn z Google Project Zero

Wpis dodano 10 stycznia 2018 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer z Google Project Zero

CVE-2017-13876: Ian Beer z Google Project Zero

Wpis uaktualniono 21 grudnia 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7173: Brandon Azad

Wpis uaktualniono 1 sierpnia 2018 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2017-13855: Jann Horn z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13865: Ian Beer z Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn z Google Project Zero

Wpis uaktualniono 21 grudnia 2017 r.

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7165: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 22 stycznia 2017 r.

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13884: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro

Wpis uaktualniono 22 stycznia 2017 r.

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.

Opis: odpowiedzi przekierowania do strony błędu 401 Unauthorized mogą umożliwić złośliwej witrynie niepoprawne wyświetlanie ikony blokady na mieszanej zawartości. Ten błąd naprawiono przez poprawienie logiki wyświetlania adresów URL.

CVE-2017-7153: Jerry Decime

Wpis dodano 11 stycznia 2018 r.

Wi-Fi

Dostępne dla: zegarków Apple Watch (1. generacji) i Apple Watch Series 3
Wydano dla zegarków Apple Watch Series 1 i Apple Watch Series 2 w systemie watchOS 4.1.

Zagrożenie: atakujący będący w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Multicast/GTK (Key Reinstallation Attacks — KRACK)

Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.

CVE-2017-13080: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven

Poniższy problem nie dotyczy systemu watchOS 4.2: 

Jądro

Zagrożenie: aplikacja może odczytać pamięć jądra systemu (Meltdown)

Opis: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i pośrednie przewidywanie skoku mogą umożliwiać nieautoryzowane ujawnienie informacji przestępcy za pomocą dostępu lokalnego użytkownika i za pośrednictwem analizy kanału bocznego pamięci podręcznej danych.

CVE-2017-5754: Jann Horn z Google Project Zero; Moritz Lipp z Politechniki w Grazu; Michael Schwarz z Politechniki w Grazu; Daniel Gruss z Politechniki w Grazu; Thomas Prescher z firmy Cyberus Technology GmbH; Werner Haas z firmy Cyberus Technology GmbH; Stefan Mangard z Politechniki w Grazu; Paul Kocher; Daniel Genkin z Uniwersytetu Pensylwanii i University of Maryland; Yuval Yarom z University of Adelaide i Data61; oraz Mike Hamburg z Rambus (Cryptography Research Division)

Wpis dodano 4 stycznia 2018 r., uaktualniono 10 stycznia 2018 r.