Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
watchOS 4
Vydané 19. septembra 2017
802.1X
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Útočník môže byť schopný zneužiť slabiny protokolu TLS 1.0
Popis: Dochádzalo k problému so zabezpečením protokolu, ktorý bol vyriešený povolením protokolov TLS 1.1 a TLS 1.2.
CVE-2017-13832: Doug Wussler z Floridskej štátnej univerzity
Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017
CFNetwork
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13829: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2017-13833: Niklas Baumstark a Samuel Gro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 10. novembra 2017
Servery proxy CFNetwork
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Útočník s oprávneniami v sieti môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k viacerým problémom súvisiacim s odmietnutím služby, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7083: Abhinav Bansal zo spoločnosti Zscaler Inc.
Dátum pridania záznamu: 25. septembra 2017
CFString
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-13821: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate
Dátum pridania záznamu: 31. októbra 2017
CoreAudio
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený aktualizovaním súčasti Opus na verziu 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) z tímu Mobile Threat Research Team, Trend Micro
Dátum pridania záznamu: 25. septembra 2017
CoreText
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13825: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate
Dátum pridania záznamu: 31. októbra 2017
File
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Viacero problémov v súčasti file
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 5.31.
CVE-2017-13815
Dátum pridania záznamu: 31. októbra 2017
Písma
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Vykreslenie nedôveryhodného textu môže viesť k falšovaniu
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2017-13828: Leonard Grey a Robert Sesek z tímu prehliadača Google Chrome
Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017
HFS
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13830: Sergej Schumilo z Porúrskej univerzity v Bochume
Dátum pridania záznamu: 31. októbra 2017
ImageIO
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2017-13814: Austrálske centrum kybernetickej bezpečnosti – Australian Signals Directorate
Dátum pridania záznamu: 31. októbra 2017
ImageIO
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie obrázka so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Pri spracovávaní obrazov diskov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením správy pamäte.
CVE-2017-13831: Glen Carmichael
Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 10. novembra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-13817: Maxime Villard (m00nbsd)
Dátum pridania záznamu: 31. októbra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-13818: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: Anonymný výskumník
Dátum pridania záznamu: 31. októbra 2017, dátum aktualizovania: 18. júna 2018
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13843: Dvaja anonymní výskumníci
Dátum pridania záznamu: 31. októbra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7114: Alex Plaskett zo spoločnosti MWR InfoSecurity
Dátum pridania záznamu: 25. septembra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13854: shrek_wzw z tímu Qihoo 360 Nirvan
Dátum pridania záznamu: 2. novembra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie poškodeného binárneho súboru mach môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2017-13834: Maxime Villard (m00nbsd)
Dátum pridania záznamu: 10. novembra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia so škodlivým kódom môže byť schopná získať informácie o prítomnosti a fungovaní iných aplikácií v zariadení
Popis: Aplikácia mohla získať neobmedzený prístup k informáciám o sieťovej aktivite, ktoré spravuje operačný systém. Tento problém bol vyriešený obmedzením informácií dostupných pre aplikácie od iných výrobcov.
CVE-2017-13873: Xiaokuan Zhang a Yinqian Zhang z Ohijskej štátnej univerzity, Xueqiang Wang a XiaoFeng Wang z Bloomingtonskej univerzity v Indiane a Xiaolong Bai z univerzity Čching-chua
Dátum pridania záznamu: 30. novembra 2017
libarchive
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s pretečením medzipamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13813: Nájdené programom OSS-Fuzz
CVE-2017-13816: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 31. októbra 2017
libarchive
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Rozbalenie archívu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: V súčasti libarchive existovalo viacero problémov súvisiacich s poškodením pamäte. Tieto problémy boli vyriešené vylepšením overovania vstupu.
CVE-2017-13812: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 31. októbra 2017
libc
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Vzdialený útočník môže byť schopný spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s vyčerpaním prostriedkov vo funkcii glob(), ktorý bol vyriešený vylepšením algoritmu.
CVE-2017-7086: Russ Cox zo spoločnosti Google
Dátum pridania záznamu: 25. septembra 2017
libc
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spôsobiť odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu so spotrebou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-1000373
Dátum pridania záznamu: 25. septembra 2017
libexpat
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Viacero problémov v súčasti expat
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 2.2.1.
CVE-2016-9063
CVE-2017-9233
Dátum pridania záznamu: 25. septembra 2017
Zabezpečenie
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Systém môže považovať zrušený certifikát za dôveryhodný
Popis: Pri spracovávaní dát zrušených certifikátov dochádzalo k problému s overovaním certifikátov. Tento problém bol vyriešený vylepšením overovania.
CVE-2017-7080: Anonymný výskumník, Sven Driemecker zo spoločnosti adesso mobile solutions gmbh, anonymný výskumník, Rune Darrud (@theflyingcorpse) z obce Bærum
Dátum pridania záznamu: 25. septembra 2017
SQLite
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Viacero problémov v súčasti SQLite
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 3.19.3.
CVE-2017-10989: Nájdené programom OSS-Fuzz
CVE-2017-7128: Nájdené programom OSS-Fuzz
CVE-2017-7129: Nájdené programom OSS-Fuzz
CVE-2017-7130: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 25. septembra 2017
SQLite
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7127: Anonymný výskumník
Dátum pridania záznamu: 25. septembra 2017
Wi-Fi
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný spustiť v aplikačnom procesore ľubovoľný kód s oprávneniami jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7103: Gal Beniamini z tímu Google Project Zero
CVE-2017-7105: Gal Beniamini z tímu Google Project Zero
CVE-2017-7108: Gal Beniamini z tímu Google Project Zero
CVE-2017-7110: Gal Beniamini z tímu Google Project Zero
CVE-2017-7112: Gal Beniamini z tímu Google Project Zero
Wi-Fi
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Škodlivý kód spustený v čipe Wi-Fi môže byť schopný čítať vyhradenú pamäť jadra
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-7116: Gal Beniamini z tímu Google Project Zero
zlib
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Viacero problémov v súčasti zlib
Popis: Dochádzalo k viacerým problémom, ktoré boli vyriešené aktualizovaním na verziu 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Dátum pridania záznamu: 25. septembra 2017
Ďalšie poďakovanie
Zabezpečenie
Poďakovanie za pomoc si zaslúži Abhinav Bansal zo spoločnosti Zscaler, Inc.