Sobre o conteúdo de segurança do watchOS 4.2.2

Este documento descreve o conteúdo de segurança do watchOS 4.2.2.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

watchOS 4.2.2

Lançado em 23 de janeiro de 2018

Áudio

Disponível para: todos os modelos do Apple Watch

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4094: Mingi Cho, Seoyoung Kim, Young-Ho Lee, MinSik Shin e Taekyoung Kwon do Information Security Lab, Yonsei University

Entrada adicionada em 16 de novembro de 2018

Core Bluetooth

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4087: Rani Idan (@raniXCH) da Zimperium zLabs Team

CVE-2018-4095: Rani Idan (@raniXCH) da Zimperium zLabs Team

Driver da placa gráfica

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4109: Adam Donenfeld (@doadam) da Zimperium zLabs Team

Entrada adicionada em 8 de fevereiro de 2018

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4090: Jann Horn do Google Project Zero

Entrada atualizada em 16 de novembro de 2018

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2018-4092: Stefan Esser da Antid0te UG

Entrada atualizada em 16 de novembro de 2018

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4082: Russ Cox do Google

Entrada atualizada em 16 de novembro de 2018

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2018-4093: Jann Horn do Google Project Zero

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2018-4189: pesquisador anônimo

Entrada adicionada em 2 de maio de 2018

LinkPresentation

Disponível para: todos os modelos do Apple Watch

Impacto: processar uma mensagem de texto criada com códigos maliciosos pode causar uma negação de serviço no aplicativo

Descrição: um problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4100: Abraham Masri (@cheesecakeufo)

Entrada atualizada em 16 de novembro de 2018

QuartzCore

Disponível para: todos os modelos do Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de memória corrompida no processamento de conteúdo da Internet. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2018-4085: Ret2 Systems Inc. em parceria com a Zero Day Initiative da Trend Micro

Entrada atualizada em 16 de novembro de 2018

Segurança

Disponível para: todos os modelos do Apple Watch

Impacto: um certificado pode ter algumas limitações de nomes aplicados incorretamente

Descrição: havia um problema de avaliação de certificado no processamento de limitações de nomes. Esse problema foi resolvido por meio de melhorias na avaliação da confiança de certificados.

CVE-2018-4086: Ian Haken da Netflix

Entrada atualizada em 16 de novembro de 2018

WebKit

Disponível para: todos os modelos do Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4088: Jeonghoon Shin da Theori

CVE-2018-4096: encontrado por OSS-Fuzz

WebKit

Disponível para: todos os modelos do Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.

CVE-2018-4147: encontrado por OSS-Fuzz

Entrada adicionada em 1º de outubro de 2018

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: