Obsah zabezpečenia v systéme watchOS 4

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 4.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

watchOS 4

Vydané 19. septembra 2017

802.1X

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Útočník môže byť schopný zneužiť slabiny protokolu TLS 1.0

Popis: Dochádzalo k problému so zabezpečením protokolu, ktorý bol vyriešený povolením protokolov TLS 1.1 a TLS 1.2.

CVE-2017-13832: Doug Wussler z Floridskej štátnej univerzity

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

CFNetwork

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13829: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro 

CVE-2017-13833: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 10. novembra 2017

Servery proxy CFNetwork

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k viacerým problémom súvisiacim s odmietnutím služby, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7083: Abhinav Bansal zo spoločnosti Zscaler Inc.

Dátum pridania záznamu: 25. septembra 2017

CFString

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13821: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

CoreAudio

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený aktualizovaním súčasti Opus na verziu 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) z tímu Mobile Threat Research Team, Trend Micro

Dátum pridania záznamu: 25. septembra 2017

CoreText

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13825: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

File

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Viacero problémov v súčasti file

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 5.31.

CVE-2017-13815: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 18. októbra 2018

Písma

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Vykreslenie nedôveryhodného textu môže viesť k falšovaniu

Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.

CVE-2017-13828: Leonard Grey a Robert Sesek z tímu prehliadača Google Chrome

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

HFS

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13830: Sergej Schumilo z Porúrskej univerzity v Bochume

Dátum pridania záznamu: 31. októbra 2017

ImageIO

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-13814: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate

Dátum pridania záznamu: 31. októbra 2017

ImageIO

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Pri spracovávaní obrazov diskov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.

CVE-2017-13831: Glen Carmichael

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-13817: Maxime Villard (m00nbsd)

Dátum pridania záznamu: 31. októbra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13818: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: Anonymný výskumník

Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 18. júna 2018

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13843: Dvaja anonymní výskumníci

Dátum pridania záznamu: 31. októbra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7114: Alex Plaskett zo spoločnosti MWR InfoSecurity

Dátum pridania záznamu: 25. septembra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13854: shrek_wzw z tímu Qihoo 360 Nirvan

Dátum pridania záznamu: 2. novembra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie poškodeného binárneho súboru mach môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2017-13834: Maxime Villard (m00nbsd)

Dátum pridania záznamu: 10. novembra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti a fungovaní iných aplikácií v zariadení.

Popis: Aplikácia mohla získať neobmedzený prístup k informáciám o sieťovej aktivite, ktoré spravuje operačný systém. Tento problém bol vyriešený obmedzením informácií dostupných pre aplikácie od iných výrobcov.

CVE-2017-13873: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua

Dátum pridania záznamu: 30. novembra 2017

libarchive

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13813: Nájdené programom OSS-Fuzz

CVE-2017-13816: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017

libarchive

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: V súčasti libarchive existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.

CVE-2017-13812: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 31. októbra 2017

libc

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby

Popis: Dochádzalo k problému s vyčerpaním prostriedkov vo funkcii glob(), ktorý bol vyriešený vylepšením algoritmu.

CVE-2017-7086: Russ Cox zo spoločnosti Google

Dátum pridania záznamu: 25. septembra 2017

libc

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby

Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-1000373

Dátum pridania záznamu: 25. septembra 2017

libexpat

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Viacero problémov v súčasti expat

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 2.2.1.

CVE-2016-9063

CVE-2017-9233

Dátum pridania záznamu: 25. septembra 2017

libxml2

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s použitím po uvoľnení, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-9049: Wei Lei a Liu Yang – Technologická univerzita v Nanyangu v Singapure

Dátum pridania záznamu: 18. októbra 2018

libxml2

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7376: Anonymný výskumník

CVE-2017-5130: Anonymný výskumník

Dátum pridania záznamu: 18. októbra 2018

libxml2

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2017-9050: Mateusz Jurczyk (j00ru) z tímu Google Project Zero

Dátum pridania záznamu: 18. októbra 2018

libxml2

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru XML so škodlivým kódom môže viesť k neočakávanému ukončeniu aplikácie alebo spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s dereferenciou nulového smerníka, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4302: Gustavo Grieco

Dátum pridania záznamu: 18. októbra 2018

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Systém môže považovať zrušený certifikát za dôveryhodný

Popis: Pri spracovávaní dát zrušených certifikátov dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania.

CVE-2017-7080: Anonymný výskumník, Sven Driemecker zo spoločnosti adesso mobile solutions gmbh, anonymný výskumník, Rune Darrud (@theflyingcorpse) z obce Bærum

Dátum pridania záznamu: 25. septembra 2017

SQLite

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Viacero problémov v súčasti SQLite

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 3.19.3.

CVE-2017-10989: Nájdené programom OSS-Fuzz

CVE-2017-7128: Nájdené programom OSS-Fuzz

CVE-2017-7129: Nájdené programom OSS-Fuzz

CVE-2017-7130: Nájdené programom OSS-Fuzz

Dátum pridania záznamu: 25. septembra 2017

SQLite

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7127: Anonymný výskumník

Dátum pridania záznamu: 25. septembra 2017

Wi-Fi

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný spustiť v aplikačnom procesore ľubovoľný kód s oprávneniami jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7103: Gal Beniamini z tímu Google Project Zero

CVE-2017-7105: Gal Beniamini z tímu Google Project Zero

CVE-2017-7108: Gal Beniamini z tímu Google Project Zero

CVE-2017-7110: Gal Beniamini z tímu Google Project Zero

CVE-2017-7112: Gal Beniamini z tímu Google Project Zero

Wi-Fi

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný čítať vyhradenú pamäť jadra

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-7116: Gal Beniamini z tímu Google Project Zero

zlib

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Viacero problémov v súčasti zlib

Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Dátum pridania záznamu: 25. septembra 2017

Ďalšie poďakovanie

Zabezpečenie

Poďakovanie za pomoc si zaslúži Abhinav Bansal zo spoločnosti Zscaler, Inc.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: