Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Ak je to možné, dokumenty spoločnosti Apple týkajúce sa zabezpečenia odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
watchOS 4.3.2
Vydané 9. júla 2018
CFNetwork
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: V prehliadači Safari môžu neočakávane zostávať súbory cookie
Popis: Dochádzalo k problému súvisiacemu so správou súborov cookie, ktorý bol vyriešený vylepšením kontrol.
CVE-2018-4293: Anonymný výskumník
CoreCrypto
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Škodlivá aplikácia môže byť schopná pracovať mimo svojho izolovaného priestoru
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4269: Abraham Masri (@cheesecakeufo)
Dátum pridania záznamu: 2. októbra 2018
Znaky Emoji
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie znakov Emoji v niektorých konfiguráciách môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4290: Patrick Wardle zo spoločnosti Digita Security
Jadro
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Lokálny používateľ môže byť schopný čítať pamäť jadra
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý viedol k odhaleniu pamäte jadra. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4282: Adam Donenfeld (@doadam) z tímu Zimperium zLabs Team, Proteas z tímu Qihoo 360 Nirvan Team, Valentin „slashd“ Shilnenkov
Dátum aktualizovania záznamu: 16. novembra 2018
libxpc
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4280: Brandon Azad
libxpc
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Škodlivá aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4248: Brandon Azad
LinkPresentation
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Návšteva webovej stránky so škodlivým kódom môže viesť k sfalšovaniu lišty s adresou
Popis: Pri spracovávaní adries URL dochádzalo k problému s falšovaním. Tento problém bol vyriešený vylepšením overovania vstupu.
CVE-2018-4277: xisigr z tímu Xuanwu Lab spoločnosti Tencent (tencent.com)
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4270: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k problému so zámenou typu, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4284: Nájdené programom OSS-Fuzz
Dátum aktualizovania záznamu: 2. októbra 2018
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Webová stránka so škodlivým kódom môže byť schopná spôsobiť odmietnutie služby
Popis: Dochádzalo k problému s postupnosťou vykonania procesov, ktorý bol vyriešený dodatočným overovaním.
CVE-2018-4266: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4262: Mateusz Krzywicki v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4264: Nájdené programom OSS-Fuzz, Yu Zhou a Jundong Xie z tímu Ant-financial Light-Year Security Lab
CVE-2018-4272: Nájdené programom OSS-Fuzz
WebKit
K dispozícii pre: Všetky modely hodiniek Apple Watch
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k neočakávanému zlyhaniu prehliadača Safari
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením overovania vstupu.
CVE-2018-4271: Nájdené programom OSS-Fuzz
CVE-2018-4273: Nájdené programom OSS-Fuzz
Ďalšie poďakovanie
Jadro
Poďakovanie za pomoc si zaslúži juwei lin (@panicaII) zo spoločnosti Trend Micro v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro.