Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.
Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
watchOS 4.3.1
Dátum vydania: 29. mája 2018
Bluetooth
Bez dosahu: Apple Watch Series 3
Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth
CVE-2018-5383: Lior Neumann a Eli Biham
Dátum pridania záznamu: 23. júla 2018
CoreGraphics
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4194: Jihui Lu z tímu Tencent KeenLab, Yu Zhou z tímu Ant-financial Light-Year Security Lab
Dátum pridania záznamu: 21. júna 2018
Crash Reporter
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.
CVE-2018-4206: Ian Beer z tímu Google Project Zero
FontParser
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4211: Proteas z tímu Qihoo 360 Nirvan
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.
CVE-2018-4241: Ian Beer z tímu Google Project Zero
CVE-2018-4243: Ian Beer z tímu Google Project Zero
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4249: Kevin Backhouse zo spoločnosti Semmle Ltd.
libxpc
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4237: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
libxpc
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4404: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum pridania záznamu: 1. augusta 2019
LinkPresentation
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania
Popis: Pri spracovávaní URL adries dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z oddelenia Tencent Security Platform Department
Dátum pridania záznamu: 1. augusta 2019
Správy
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný uskutočňovať útoky vydávaním sa za inú osobu
Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4235: Anurodh Pokharel zo Salesforce.com
Správy
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Tento problém bol vyriešený vylepšením overovania správ.
CVE-2018-4240: Sriram (@Sri_Hxor) zo spoločnosti PrimeFort Pvt. Ltd.
Zabezpečenie
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor zariadenia
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Zabezpečenie
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný upraviť stav Kľúčenky
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Zabezpečenie
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor účtu
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Zabezpečenie
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie
Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
UIKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Pri spracúvaní textu dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania textu.
CVE-2018-4198: Hunter Byrnes
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.
CVE-2018-4192: Markus Gaasedelen, Amy Burnett a Patrick Biernat zo spoločnosti Ret2 Systems, Inc. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
Dátum aktualizovania záznamu: 8. októbra 2019
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari
Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4214: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4246: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4201: Anonymný výskumník
CVE-2018-4218: natashenka z tímu Google Project Zero
CVE-2018-4233: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4222: natashenka z tímu Google Project Zero