Sobre o conteúdo de segurança do watchOS 5.1.2
Este documento descreve o conteúdo de segurança do watchOS 5.1.2.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre Segurança do Produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
watchOS 5.1.2
AirPort
Disponível para: Apple Watch Series 1 e posterior
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4303: Mohamed Ghannam (@_simo36)
Imagens de disco
Disponível para: Apple Watch Series 1 e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4427: Pangu Team
Kernel
Disponível para: Apple Watch Series 1 e posterior
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security
CVE-2018-4448: Brandon Azad
Kernel
Disponível para: Apple Watch Series 1 e posterior
Impacto: um invasor em uma posição privilegiada pode fazer um ataque de negação de serviço
Descrição: um problema de recusa de serviço foi resolvido por meio da remoção do código vulnerável.
CVE-2018-4460: Kevin Backhouse da Semmle Security Research Team
Kernel
Disponível para: Apple Watch Series 1 e posterior
Impacto: um usuário local pode ler a memória do kernel
Descrição: um problema na inicialização da memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4431: um pesquisador de segurança independente informou esta vulnerabilidade ao programa SecuriTeam Secure Disclosure da Beyond Security
Kernel
Disponível para: Apple Watch Series 1 e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4447: Juwei Lin (@panicaII) e Zhengyu Dong da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: Apple Watch Series 1 e posterior
Impacto: um aplicativo malicioso pode elevar privilégios
Descrição: um problema de lógica foi resolvido por meio de melhorias nas restrições.
CVE-2018-4435: Jann Horn do Google Project Zero, Juwei Lin (@panicaII) e Junzhi Lu da TrendMicro Mobile Security Team em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: Apple Watch Series 1 e posterior
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4461: Ian Beer do Google Project Zero
LinkPresentation
Disponível para: Apple Watch Series 1 e posterior
Impacto: processar um e-mail criado com códigos maliciosos pode levar à falsificação da interface de usuário
Descrição: havia um problema de falsificação no processamento de URLs. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2018-4429: Victor Le Pochat do grupo imec-DistriNet na KU Leuven
Perfis
Disponível para: Apple Watch Series 1 e posterior
Impacto: um perfil de configuração não confiável pode ser exibido incorretamente como verificado
Descrição: havia um problema de validação de certificação em perfis de configuração. Esse problema foi resolvido por meio de verificações adicionais.
CVE-2018-4436: James Seeley (@Code4iOS) e Joseph S. da JJS Securities
WebKit
Disponível para: Apple Watch Series 1 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de memória corrompida foram resolvidos por meio de melhorias no processamento da memória.
CVE-2018-4437: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia
CVE-2018-4464: HyungSeok Han, DongHyeon Oh e Sang Kil Cha do KAIST Softsec Lab, Coreia
WebKit
Disponível para: Apple Watch Series 1 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2018-4441: lokihardt do Google Project Zero
CVE-2018-4442: lokihardt do Google Project Zero
CVE-2018-4443: lokihardt do Google Project Zero
WebKit
Disponível para: Apple Watch Series 1 e posterior
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de lógica que corrompia a memória. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2018-4438: lokihardt do Google Project Zero e Qixun Zhao do Qihoo 360 Vulcan Team
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.