Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
watchOS 4.2
Vydané 5. decembra 2017
Relácia CFNetwork
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7172: Richard Zhu (fluorescence) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 22. januára 2018
CoreAnimation
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód so zvýšenými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7171: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro a Tencent Keen Security Lab (@keen_lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 22. januára 2018
IOKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-7162: Tencent Keen Security Lab (@keen_lab) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 21. decembra 2017, dátum aktualizovania: 10. januára 2018
IOSurface
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13861: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13904: Kevin Backhouse zo spoločnosti Semmle Ltd.
Dátum pridania záznamu: 14. februára 2018
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný spôsobiť neočakávané ukončenie systému alebo čítať pamäť jadra
Popis: V jadre dochádzalo k problému súvisiacemu s overovaním vstupu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2017-7154: Jann Horn z tímu Google Project Zero
Dátum pridania záznamu: 10. januára 2018
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13862: Apple
CVE-2017-13867: Ian Beer z tímu Google Project Zero
CVE-2017-13876: Ian Beer z tímu Google Project Zero
Dátum aktualizovania záznamu: 21. decembra 2017
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2017-7173: Brandon Azad
Dátum aktualizovania záznamu: 1. augusta 2018
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2017-13855: Jann Horn z tímu Google Project Zero
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2017-13865: Ian Beer z tímu Google Project Zero
CVE-2017-13868: Brandon Azad
CVE-2017-13869: Jann Horn z tímu Google Project Zero
Dátum aktualizovania záznamu: 21. decembra 2017
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-7165: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 22. januára 2017
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2017-13884: 360 Security v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 22. januára 2017
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k predstieraniu iného zdroja v používateľskom rozhraní (tzv. spoofing)
Popis: Presmerovacie odpovede na chybu 401 Unauthorized môžu webovej stránke so škodlivým kódom umožniť nesprávne zobraziť ikonu zámku na stránke so zmiešaným obsahom. Tento problém bol vyriešený vylepšením logiky zobrazovania adries URL.
CVE-2017-7153: Jerry Decime
Dátum pridania záznamu: 11. januára 2018
Wi-Fi
K dispozícii pre: Apple Watch (1. generácia) a Apple Watch Series 3
Vydané pre Apple Watch Series 1 a Apple Watch Series 2 v aktualizácii watchOS 4.1.
Dopad: Útočník v dosahu Wi-Fi siete môže vynútiť opätovné použitie čísla nonce v klientoch WPA multicast/GTK (útoky opätovnou inštaláciou kľúča – KRACK)
Popis: Pri spracovávaní prechodov stavu dochádzalo k problému s logikou. Tento problém bol vyriešený vylepšením správy stavu.
CVE-2017-13080: Mathy Vanhoef zo skupiny imec-DistriNet na univerzite KU Leuven
Bez dopadu
Nasledujúci problém neovplyvňuje systém watchOS 4.2:
Jadro
Dopad: Aplikácia môže byť schopná čítať pamäť jadra (Meltdown)
Popis: Systémy s mikroprocesormi, ktoré používajú špekulatívne vykonávanie kódu a nepriame predpovedanie vetvy, môžu umožňovať neoprávnené získanie informácií útočníkom s použitím prístupu lokálneho používateľa prostredníctvom analýzy bočného kanálu vyrovnávacej pamäte dát.
CVE-2017-5754: Jann Horn z tímu Google Project Zero, Moritz Lipp z Technologickej univerzity v Grazi, Michael Schwarz z Technologickej univerzity v Grazi, Daniel Gruss z Technologickej univerzity v Grazi, Thomas Prescher zo spoločnosti Cyberus Technology GmbH, Werner Haas zo spoločnosti Cyberus Technology GmbH, Stefan Mangard z Technologickej univerzity v Grazi, Paul Kocher, Daniel Genkin z Pensylvánskej univerzity a Marylandskej univerzity, Yuval Yarom z Adelaidskej univerzity a spoločnosti Data61 a Mike Hamburg zo spoločnosti Rambus (divízia kryptografického výskumu)
Dátum pridania záznamu: 4. januára 2018, dátum aktualizovania: 10. januára 2018