Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
watchOS 4.3
Vydané 29. marca 2018
CoreFoundation
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4155: Samuel Groß (@5aelo)
CVE-2018-4158: Samuel Groß (@5aelo)
CoreText
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4142: Robin Leroy zo spoločnosti Google Switzerland GmbH
Dátum aktualizovania záznamu: 16. novembra 2018
Udalosti súborového systému
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4167: Samuel Groß (@5aelo)
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka so škodlivým kódom môže spúšťať ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4150: Anonymný výskumník
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením čistenia vstupu.
CVE-2018-4104: Národné centrum Spojeného kráľovstva pre kybernetickú bezpečnosť (NCSC)
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4143: derrek (@derrekr6)
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka so škodlivým kódom môže byť schopná určiť rozloženie pamäte jadra
Popis: Pri zmene stavu programov dochádzalo k problému s únikom informácií. Tento problém bol vyriešený vylepšením spracovania stavu.
CVE-2018-4185: Brandon Azad
Dátum pridania záznamu: 19. júla 2018
libxml2
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari
Popis: Dochádzalo k problému súvisiacemu s použitím predtým uvoľnenej pamäte, ktorý bol vyriešený vylepšením správy pamäte.
CVE-2017-15412: Nick Wellnhofer
Dátum pridania záznamu: 18. októbra 2018
LinkPresentation
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Dochádzalo k problému s nekonzistentným používateľským rozhraním, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4390: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter
CVE-2018-4391: Rayyan Bijoora (@Bijoora) z The City School, PAF Chapter
Dátum pridania záznamu: 30. októbra 2018, dátum aktualizovania: 16. novembra 2018
NSURLSession
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4166: Samuel Groß (@5aelo)
Rýchly náhľad
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4157: Samuel Groß (@5aelo)
Zabezpečenie
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením overovania veľkosti.
CVE-2018-4144: Abraham Masri (@cheesecakeufo)
Systémové nastavenia
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Konfiguračný profil môže nesprávne zostať v platnosti aj po odstránení
Popis: Dochádzalo k problému v súčasti CFPreferences. Tento problém bol vyriešený vylepšením čistenia nastavení.
CVE-2018-4115: Johann Thalakada, Vladimir Zubkov a Matt Vlasach zo spoločnosti Wandera
Dátum aktualizovania záznamu: 16. novembra 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia s typmi indexovania spôsobovala zlyhanie ASSERT
Popis: Pri spracovávaní funkcií v jadre JavaScriptu dochádzalo k problému s indexovaním polí. Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4113: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4146: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4114: Nájdené programom OSS-Fuzz
CVE-2018-4121: natashenka z tímu Google Project Zero
CVE-2018-4122: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4125: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4129: likemeng z tímu Baidu Security Lab v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4161: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4162: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4163: WanderingGlitch z projektu Zero Day Initiative spoločnosti Trend Micro
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Webová stránka so škodlivým kódom môže spôsobiť neoprávnené získanie dát s rôznym pôvodom
Popis: V rozhraní API na načítanie dát dochádzalo k problému so zámenou pôvodu. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4117: Dvaja anonymní výskumníci
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4207: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4208: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4209: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia s typmi indexovania spôsobovala zlyhanie
Popis: Pri spracovávaní funkcií v jadre JavaScriptu dochádzalo k problému s indexovaním polí. Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4210: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4212: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Neočakávaná interakcia spôsobovala zlyhanie ASSERT
Popis: Tento problém bol vyriešený vylepšením kontrol.
CVE-2018-4213: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 2. mája 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4145: Nájdené programom OSS-Fuzz
Dátum pridania záznamu: 18. októbra 2018
Ďalšie poďakovanie
Poďakovanie za pomoc si zaslúži Sabri Haddouche (@pwnsdx) zo spoločnosti Wire Swiss GmbH.
Dátum pridania záznamu: 21. júna 2018
Zabezpečenie
Poďakovanie za pomoc si zaslúži Abraham Masri (@cheesecakeufo).
Dátum pridania záznamu: 13. apríla 2018