Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 4.2
Wydano 5 grudnia 2017 r.
Automatyczne odblokowywanie
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2017-13905: Samuel Groß (@5aelo)
Wpis dodano 18 października 2018 r.
Sesja CFNetwork
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7172: Richard Zhu (fluorescence) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 22 stycznia 2018 r.
CoreAnimation
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7171: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro i Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 22 stycznia 2018 r.
CoreFoundation
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może uzyskać podwyższony poziom uprawnień.
Opis: usunięto sytuację wyścigu przez wprowadzenie dodatkowego sprawdzania poprawności.
CVE-2017-7151: Samuel Groß (@5aelo)
Wpis dodano 18 października 2018 r.
IOKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 21 grudnia 2017 r., uaktualniono 10 stycznia 2018 r.
IOSurface
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13861: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13904: Kevin Backhouse z Semmle Ltd.
Wpis dodano 14 lutego 2018 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: w jądrze występował błąd sprawdzania poprawności danych wejściowych. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-7154: Jann Horn z Google Project Zero
Wpis dodano 10 stycznia 2018 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13862: Apple
CVE-2017-13867: Ian Beer z Google Project Zero
CVE-2017-13876: Ian Beer z Google Project Zero
Wpis uaktualniono 21 grudnia 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-7173: Brandon Azad
Wpis uaktualniono 1 sierpnia 2018 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2017-13855: Jann Horn z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13865: Ian Beer z Google Project Zero
CVE-2017-13868: Brandon Azad
CVE-2017-13869: Jann Horn z Google Project Zero
Wpis uaktualniono 21 grudnia 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13880: Apple
Wpis dodano 18 października 2018 r.
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7165: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 22 stycznia 2017 r.
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13884: 360 Security w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 22 stycznia 2017 r.
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: odwiedzenie złośliwej witryny internetowej może doprowadzić do spreparowania interfejsu użytkownika.
Opis: odpowiedzi przekierowania do strony błędu 401 Unauthorized mogą umożliwić złośliwej witrynie niepoprawne wyświetlanie ikony blokady na mieszanej zawartości. Ten błąd naprawiono przez poprawienie logiki wyświetlania adresów URL.
CVE-2017-7153: Jerry Decime
Wpis dodano 11 stycznia 2018 r.
Wi-Fi
Dostępne dla: zegarków Apple Watch (1. generacji) i Apple Watch Series 3
Wydano dla zegarków Apple Watch Series 1 i Apple Watch Series 2 w systemie watchOS 4.1.
Zagrożenie: atakujący będący w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Multicast/GTK (Key Reinstallation Attacks — KRACK)
Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-13080: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
Brak wpływu
Poniższy problem nie dotyczy systemu watchOS 4.2:
Jądro
Zagrożenie: aplikacja może odczytać pamięć jądra systemu (Meltdown)
Opis: systemy z mikroprocesorami wykorzystującymi wykonywanie spekulatywne i pośrednie przewidywanie skoku mogą umożliwiać nieautoryzowane ujawnienie informacji przestępcy za pomocą dostępu lokalnego użytkownika i za pośrednictwem analizy kanału bocznego pamięci podręcznej danych.
CVE-2017-5754: Jann Horn z Google Project Zero; Moritz Lipp z Politechniki w Grazu; Michael Schwarz z Politechniki w Grazu; Daniel Gruss z Politechniki w Grazu; Thomas Prescher z firmy Cyberus Technology GmbH; Werner Haas z firmy Cyberus Technology GmbH; Stefan Mangard z Politechniki w Grazu; Paul Kocher; Daniel Genkin z Uniwersytetu Pensylwanii i University of Maryland; Yuval Yarom z University of Adelaide i Data61; oraz Mike Hamburg z Rambus (Cryptography Research Division)
Wpis dodano 4 stycznia 2018 r., uaktualniono 10 stycznia 2018 r.