Obsah zabezpečenia v systéme watchOS 4.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 4.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

watchOS 4.2

Automatické odomknutie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2017-13905: Samuel Groß (@5aelo)

Relácia CFNetwork

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7172: Richard Zhu (fluorescence) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreAnimation

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so zvýšenými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7171: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Tencent Keen Security Lab (@keen_lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

CoreFoundation

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.

CVE-2017-7151: Samuel Groß (@5aelo)

IOKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

IOSurface

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13861: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13904: Kevin Backhouse zo spoločnosti Semmle Ltd.

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-7154: Jann Horn z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer z tímu Google Project Zero

CVE-2017-13876: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-7173: Brandon Azad

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13855: Jann Horn z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13865: Ian Beer z tímu Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávnením na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13880: Apple

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7165: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-13884: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Presmerovacie odpovede na chybu 401 Unauthorized môžu webovej stránke so škodlivým kódom umožniť nesprávne zobraziť ikonu zámku na stránke so zmiešaným obsahom. Tento problém bol vyriešený vylepšením logiky zobrazovania adries URL.

CVE-2017-7153: Jerry Decime

Wi-Fi

K dispozícii pre: Apple Watch (1. generácia) a Apple Watch Series 3

Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA multicast/GTK (útoky opätovnou inštaláciou kľúča – KRACK)

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-13080: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven

Bez dopadu

Nasledujúci problém neovplyvňuje systém watchOS 4.2:

Jadro

Dopad: Aplikácia môže byť schopná čítať pamäť jadra (Meltdown)

Popis: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a nepriame predpovedanie vetvy, môžu umožňovať neoprávnené získanie informácií útočníkom s použitím prístupu lokálneho používateľa prostredníctvom analýzy bočného kanálu vyrovnávacej pamäte dát.

CVE-2017-5754: Jann Horn z tímu Google Project Zero, Moritz Lipp z Technologickej univerzity v Grazi, Michael Schwarz z Technologickej univerzity v Grazi, Daniel Gruss z Technologickej univerzity v Grazi, Thomas Prescher zo spoločnosti Cyberus Technology GmbH, Werner Haas zo spoločnosti Cyberus Technology GmbH, Stefan Mangard z Technologickej univerzity v Grazi, Paul Kocher, Daniel Genkin z Pensylvánskej univerzity a Marylandskej univerzity, Yuval Yarom z Adelaidskej univerzity a spoločnosti Data61 a Mike Hamburg zo spoločnosti Rambus (divízia kryptografického výskumu)