Obsah zabezpečenia v systéme watchOS 4.2

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 4.2.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

watchOS 4.2

Vydané 5. decembra 2017

Relácia CFNetwork

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7172: Richard Zhu (fluorescence) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 22. januára 2018

CoreAnimation

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so zvýšenými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7171: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Tencent Keen Security Lab (@keen_lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 22. januára 2018

IOKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 21. decembra 2017, dátum aktualizovania: 10. januára 2018

IOSurface

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13861: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13904: Kevin Backhouse zo spoločnosti Semmle Ltd.

Dátum pridania záznamu: 14. februára 2018

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra

Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2017-7154: Jann Horn z tímu Google Project Zero

Dátum pridania záznamu: 10. januára 2018

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13862: Apple

CVE-2017-13867: Ian Beer z tímu Google Project Zero

CVE-2017-13876: Ian Beer z tímu Google Project Zero

Dátum aktualizovania záznamu: 21. decembra 2017

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2017-7173: Brandon Azad

Dátum aktualizovania záznamu: 1. augusta 2018

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2017-13855: Jann Horn z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť

Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.

CVE-2017-13865: Ian Beer z tímu Google Project Zero

CVE-2017-13868: Brandon Azad

CVE-2017-13869: Jann Horn z tímu Google Project Zero

Dátum aktualizovania záznamu: 21. decembra 2017

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-7165: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 22. januára 2017

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2017-13884: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 22. januára 2017

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)

Popis: Presmerovacie odpovede na chybu 401 Unauthorized môžu webovej stránke so škodlivým kódom umožniť nesprávne zobraziť ikonu zámku na stránke so zmiešaným obsahom. Tento problém bol vyriešený vylepšením logiky zobrazovania adries URL.

CVE-2017-7153: Jerry Decime

Dátum pridania záznamu: 11. januára 2018

Wi-Fi

K dispozícii pre: Apple Watch (1. generácia) a Apple Watch Series 3
Vydané pre Apple Watch Series 1 a Apple Watch Series 2 v aktualizácii watchOS 4.1.

Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA multicast/GTK (útoky opätovnou inštaláciou kľúča – KRACK)

Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.

CVE-2017-13080: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven

Bez dopadu

Nasledujúci problém neovplyvňuje systém watchOS 4.2: 

Jadro

Dopad: Aplikácia môže byť schopná čítať pamäť jadra (Meltdown)

Popis: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a nepriame predpovedanie vetvy, môžu umožňovať neoprávnené získanie informácií útočníkom s použitím prístupu lokálneho používateľa prostredníctvom analýzy bočného kanálu vyrovnávacej pamäte dát.

CVE-2017-5754: Jann Horn z tímu Google Project Zero, Moritz Lipp z Technologickej univerzity v Grazi, Michael Schwarz z Technologickej univerzity v Grazi, Daniel Gruss z Technologickej univerzity v Grazi, Thomas Prescher zo spoločnosti Cyberus Technology GmbH, Werner Haas zo spoločnosti Cyberus Technology GmbH, Stefan Mangard z Technologickej univerzity v Grazi, Paul Kocher, Daniel Genkin z Pensylvánskej univerzity a Marylandskej univerzity, Yuval Yarom z Adelaidskej univerzity a spoločnosti Data61 a Mike Hamburg zo spoločnosti Rambus (divízia kryptografického výskumu)

Dátum pridania záznamu: 4. januára 2018, dátum aktualizovania: 10. januára 2018

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: