Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 5.1.2
Wydano 6 grudnia 2018 r.
AirPort
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Obrazy dysków
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4427: Pangu Team
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może wykonać atak typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” (DoS) przez usunięcie kodu związanego z luką w zabezpieczeniach.
CVE-2018-4460: Kevin Backhouse z Semmle Security Research Team
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd inicjowania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4431: tę lukę w zabezpieczeniach zgłosił niezależny badacz zabezpieczeń do programu wykrywania luk w zabezpieczeniach zespołu SecuriTeam firmy Beyond Security
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2018-4447: Juwei Lin(@panicaII) i Zhengyu Dong z TrendMicro Mobile Security Team w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 18 grudnia 2018 r.
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2018-4435: Jann Horn z Google Project Zero, Juwei Lin(@panicaII) i Junzhi Lu z TrendMicro Mobile Security Team w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 18 grudnia 2018 r.
Jądro
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4461: Ian Beer z Google Project Zero
LinkPresentation
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej wiadomości e-mail może doprowadzić do sfałszowania interfejsu użytkownika.
Opis: w procedurze obsługi adresów URL występował błąd umożliwiający fałszowanie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2018-4429: Victor Le Pochat z imec-DistriNet, KU Leuven
Profile
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: niezaufany profil konfiguracji może być błędnie wyświetlany jako zweryfikowany.
Opis: w profilach konfiguracji występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej kontroli uprawnień.
CVE-2018-4436: James Seeley @Code4iOS, Joseph S. z JJS Securities
Wpis uaktualniono 18 grudnia 2018 r.
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4437: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea
CVE-2018-4464: HyungSeok Han, DongHyeon Oh i Sang Kil Cha z KAIST Softsec Lab, Korea
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2018-4441: lokihardt z Google Project Zero
CVE-2018-4442: lokihardt z Google Project Zero
CVE-2018-4443: lokihardt z Google Project Zero
WebKit
Dostępne dla: zegarka Apple Watch Series 1 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: występował błąd logiczny powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2018-4438: lokihardt z Google Project Zero, Qixun Zhao z zespołu Vulcan Team firmy Qihoo 360
Wpis uaktualniono 22 stycznia 2019 r.