Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
watchOS 4.3.2
Lançado em 9 de julho de 2018
CFNetwork
Disponível para: todos os modelos do Apple Watch
Impacto: os cookies podem persistir de modo inesperado no Safari
Descrição: um problema no gerenciamento de cookies foi resolvido por meio de melhorias nas verificações.
CVE-2018-4293: pesquisador anônimo
CoreCrypto
Disponível para: todos os modelos do Apple Watch
Impacto: um aplicativo malicioso pode sair de sua área restrita
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
Entrada adicionada em 2 de outubro de 2018
Emoji
Disponível para: todos os modelos do Apple Watch
Impacto: o processamento de um emoji em determinadas configurações pode levar a uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4290: Patrick Wardle da Digita Security
Kernel
Disponível para: todos os modelos do Apple Watch
Impacto: um usuário local pode ler a memória do kernel
Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4282: Adam Donenfeld (@doadam) da Zimperium zLabs Team, Proteas da Qihoo 360 Nirvan Team, Valentin "slashd" Shilnenkov
Entrada atualizada em 16 de novembro de 2018
libxpc
Disponível para: todos os modelos do Apple Watch
Impacto: um aplicativo pode obter privilégios elevados
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4280: Brandon Azad
libxpc
Disponível para: todos os modelos do Apple Watch
Impacto: um aplicativo malicioso pode ler a memória restrita
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4248: Brandon Azad
LinkPresentation
Disponível para: todos os modelos do Apple Watch
Impacto: acessar um site malicioso pode levar à falsificação da barra de endereços
Descrição: havia um problema de falsificação no processamento de URLs. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4277: xisigr do Xuanwu Lab da Tencent (tencent.com)
WebKit
Disponível para: todos os modelos do Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4270: encontrado por OSS-Fuzz
WebKit
Disponível para: todos os modelos do Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4284: encontrado por OSS-Fuzz
Entrada atualizada em 2 de outubro de 2018
WebKit
Disponível para: todos os modelos do Apple Watch
Impacto: um site malicioso pode causar uma negação de serviço
Descrição: uma condição de corrida foi resolvida por meio de validação adicional.
CVE-2018-4266: encontrado por OSS-Fuzz
WebKit
Disponível para: todos os modelos do Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4262: Mateusz Krzywicki em parceria com a Zero Day Initiative da Trend Micro
CVE-2018-4264: encontrado por OSS-Fuzz, Yu Zhou e Jundong Xie da Ant-financial Light-Year Security Lab
CVE-2018-4272: encontrado por OSS-Fuzz
WebKit
Disponível para: todos os modelos do Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar uma falha inesperada no Safari
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias na validação de entradas.
CVE-2018-4271: encontrado por OSS-Fuzz
CVE-2018-4273: encontrado por OSS-Fuzz
Outros reconhecimentos
Kernel
Gostaríamos de agradecer a juwei lin (@panicaII) da Trend Micro em parceria com a Zero Day Initiative da Trend Micro por sua ajuda.