Obsah zabezpečenia v systéme watchOS 4.3.1

V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 4.3.1.

Aktualizácie zabezpečenia spoločnosti Apple

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.

Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

watchOS 4.3.1

Dátum vydania: 29. mája 2018

Bluetooth

Bez dopadu: Apple Watch Series 3

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth

CVE-2018-5383: Lior Neumann a Eli Biham

Dátum pridania záznamu: 23. júla 2018

CoreGraphics

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4194: Jihui Lu z tímu Tencent KeenLab, Yu Zhou z tímu Ant-financial Light-Year Security Lab

Dátum pridania záznamu: 21. júna 2018

Súčasť hlásenia zlyhaní

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.

CVE-2018-4206: Ian Beer z tímu Google Project Zero

FontParser

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4211: Proteas z tímu Qihoo 360 Nirvan Team

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením zásobníka, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2018-4241: Ian Beer z tímu Google Project Zero

CVE-2018-4243: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4249: Kevin Backhouse zo spoločnosti Semmle Ltd.

libxpc

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4237: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Správy

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný uskutočňovať útoky vydávaním sa za inú osobu

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4235: Anurodh Pokharel zo Salesforce.com

Správy

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením overovania správ.

CVE-2018-4240: Sriram (@Sri_Hxor) zo spoločnosti PrimeFort Pvt. Ltd.

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor zariadenia

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný upraviť stav Kľúčenky

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor účtu

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný zobraziť citlivé používateľské informácie

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

UIKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Pri spracovávaní textu dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania textu.

CVE-2018-4198: Hunter Byrnes

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2018-4192: Markus Gaasedelen, Nick Burnett a Patrick Biernat zo spoločnosti Ret2 Systems, Inc. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4214: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4246: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2018-4201: Anonymný výskumník

CVE-2018-4218: Natalie Silvanovich z tímu Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4222: Natalie Silvanovich z tímu Google Project Zero

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: