Obsah zabezpečenia v systéme watchOS 4.3.1

Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia spoločnosti Apple.

Ďalšie informácie o zabezpečení nájdete na stránke o zabezpečení produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.

Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.

Dátum vydania: 29. mája 2018

Bluetooth

Bez dosahu: Apple Watch Series 3

Dopad: Útočník s oprávneniami v sieti môže byť schopný zaznamenávať prenosy cez Bluetooth

CVE-2018-5383: Lior Neumann a Eli Biham

Dátum pridania záznamu: 23. júla 2018

CoreGraphics

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4194: Jihui Lu z tímu Tencent KeenLab, Yu Zhou z tímu Ant-financial Light-Year Security Lab

Dátum pridania záznamu: 21. júna 2018

Crash Reporter

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania chýb.

CVE-2018-4206: Ian Beer z tímu Google Project Zero

FontParser

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie súboru písma so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4211: Proteas z tímu Qihoo 360 Nirvan

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému s pretečením buffera, ktorý bol vyriešený vylepšením kontroly rozsahu.

CVE-2018-4241: Ian Beer z tímu Google Project Zero

CVE-2018-4243: Ian Beer z tímu Google Project Zero

Jadro

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Apka môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4249: Kevin Backhouse zo spoločnosti Semmle Ltd.

libxpc

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Apka môže byť schopná získať oprávnenia vyššej úrovne

Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.

CVE-2018-4237: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

libxpc

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Apka môže byť schopná spustiť ľubovoľný kód so systémovými oprávneniami

Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4404: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum pridania záznamu: 1. augusta 2019

LinkPresentation

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie textovej správy so škodlivým kódom môže viesť k sfalšovaniu používateľského rozhrania

Popis: Pri spracovávaní URL adries dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.

CVE-2018-4187: Roman Mueller (@faker_), Zhiyang Zeng (@Wester) z oddelenia Tencent Security Platform Department

Dátum pridania záznamu: 1. augusta 2019

Správy

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný uskutočňovať útoky vydávaním sa za inú osobu

Popis: Dochádzalo k problému súvisiacemu s vložením kódu, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4235: Anurodh Pokharel zo Salesforce.com

Správy

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Tento problém bol vyriešený vylepšením overovania správ.

CVE-2018-4240: Sriram (@Sri_Hxor) zo spoločnosti PrimeFort Pvt. Ltd.

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor zariadenia

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4224: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný upraviť stav Kľúčenky

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4225: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný čítať perzistentný identifikátor účtu

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4223: Abraham Masri (@cheesecakeufo)

Zabezpečenie

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Lokálny používateľ môže byť schopný zobraziť si citlivé používateľské informácie

Popis: Dochádzalo k problému súvisiacemu s autorizáciou, ktorý bol vyriešený vylepšením správy stavu.

CVE-2018-4226: Abraham Masri (@cheesecakeufo)

UIKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie textového súboru so škodlivým kódom môže viesť k odmietnutiu služby

Popis: Pri spracúvaní textu dochádzalo k problému s overovaním. Tento problém bol vyriešený vylepšením overovania textu.

CVE-2018-4198: Hunter Byrnes

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený vylepšením zamykania.

CVE-2018-4192: Markus Gaasedelen, Amy Burnett a Patrick Biernat zo spoločnosti Ret2 Systems, Inc. v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

Dátum aktualizovania záznamu: 8. októbra 2019

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari

Popis: Dochádzalo k problému s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4214: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.

CVE-2018-4246: Nájdené programom OSS-Fuzz

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.

CVE-2018-4201: Anonymný výskumník

CVE-2018-4218: natashenka z tímu Google Project Zero

CVE-2018-4233: Samuel Groß (@5aelo) v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro

WebKit

K dispozícii pre: Všetky modely hodiniek Apple Watch

Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu

Popis: Dochádzalo k problému s čítaním dát mimo buffera, ktorý bol vyriešený vylepšením overovania vstupu.

CVE-2018-4222: natashenka z tímu Google Project Zero