Obsah zabezpečenia v systéme watchOS 5.1
V tomto dokumente sa popisuje obsah zabezpečenia v systéme watchOS 5.1.
Aktualizácie zabezpečenia spoločnosti Apple
Spoločnosť Apple chráni svojich zákazníkov, a preto nezverejňuje informácie o problémoch so zabezpečením, nediskutuje o nich ani ich nepotvrdzuje, kým sa problémy nepreskúmajú a nie sú k dispozícii opravy alebo nové vydania. Najnovšie vydania sú uvedené na stránke Aktualizácie zabezpečenia Apple.
Ďalšie informácie o zabezpečení nájdete na stránke týkajúcej sa zabezpečenia produktov Apple. Komunikáciu so spoločnosťou Apple môžete zašifrovať pomocou kľúča PGP zabezpečenia produktov Apple.
Dokumenty spoločnosti Apple o zabezpečení podľa možnosti odkazujú na riziká prostredníctvom identifikátorov CVE-ID.
watchOS 5.1
AppleAVD
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia so škodlivým kódom môže byť schopná zvýšiť úroveň oprávnení
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4384: Natalie Silvanovich z tímu Google Project Zero
CoreCrypto
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Útočník môže byť schopný zneužiť nedostatočne zabezpečené miesto v Miller-Rabinovom teste prvočíselnosti a nesprávne identifikovať prvočísla
Popis: V spôsobe určovania prvočísel dochádzalo k problému. Tento problém bol vyriešený používaním pseudonáhodných základov pri testovaní prvočísel.
CVE-2018-4398: Martin Albrecht, Jake Massimo a Kenny Paterson z univerzity Royal Holloway, University of London, a Juraj Somorovsky z Porúrskej univerzity v Bochume
ICU
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie reťazca so škodlivým kódom môže viesť k poškodeniu haldy
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4394: Erik Verbruggen zo spoločnosti The Qt Company
IPSec
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná získať oprávnenia vyššej úrovne
Popis: Dochádzalo k problému s čítaním dát v zakázaných oblastiach, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4371: Tim Michaud (@TimGMichaud) z tímu Leviathan Security Group
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený odstránením nedostatočne zabezpečeného kódu.
CVE-2018-4420: Mohamed Ghannam (@_simo36)
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná čítať vyhradenú pamäť
Popis: Dochádzalo k problému súvisiacemu s inicializáciou pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4413: Juwei Lin (@panicaII) z tímu TrendMicro Mobile Security Team
Jadro
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Aplikácia môže byť schopná spustiť ľubovoľný kód s oprávneniami na úrovni jadra
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením spracovania pamäte.
CVE-2018-4419: Mohamed Ghannam (@_simo36)
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie správy so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému súvisiacemu s vyčerpaním prostriedkov, ktorý bol vyriešený vylepšením overovania vstupu.
CVE-2018-4381: Angel Ramirez
NetworkExtension
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Pripojenie k serveru VPN môže spôsobiť únik dotazov DNS na proxy server DNS
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením správy stavu.
CVE-2018-4369: Anonymný výskumník
Čítačka Safari
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Povolenie funkcie čítačky Safari na webovej stránke so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: Dochádzalo k problému s logikou, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4374: Ryan Pickren (ryanpickren.com)
Čítačka Safari
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Povolenie funkcie čítačky Safari na webovej stránke so škodlivým kódom môže viesť k univerzálnemu skriptovaniu medzi lokalitami (XSS)
Popis: V Safari dochádzalo k problému súvisiacemu so skriptovaním medzi lokalitami. Tento problém bol vyriešený vylepšením overovania URL adries.
CVE-2018-4377: Ryan Pickren (ryanpickren.com)
Zabezpečenie
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie podpísanej správy S/MIME so škodlivým kódom môže viesť k odmietnutiu služby
Popis: Dochádzalo k problému s overovaním, ktorý bol vyriešený vylepšením logiky.
CVE-2018-4400: Yukinobu Nagayasu zo spoločnosti LAC Co., Ltd.
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu ľubovoľného kódu
Popis: Dochádzalo k viacerým problémom súvisiacim s poškodením pamäte, ktoré boli vyriešené vylepšením spracovania pamäte.
CVE-2018-4372: HyungSeok Han, DongHyeon Oh a Sang Kil Cha zo spoločnosti KAIST Softsec Lab, Kórea
CVE-2018-4373: ngg, alippai, DirtYiCE, KT zo spoločnosti Tresorit v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4375: Yu Haiwan a Wu Hongjun z Technologickej univerzity v Nanyangu v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4376: 010 v spolupráci s projektom Zero Day Initiative spoločnosti Trend Micro
CVE-2018-4382: lokihardt z tímu Google Project Zero
CVE-2018-4386: lokihardt z tímu Google Project Zero
CVE-2018-4392: zhunki z tímu 360 ESG Codesafe Team
CVE-2018-4416: lokihardt z tímu Google Project Zero
WebKit
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Spracovanie webového obsahu so škodlivým kódom môže viesť k spusteniu kódu
Popis: Dochádzalo k problému súvisiacemu s poškodením pamäte, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4378: HyungSeok Han, DongHyeon Oh a Sang Kil Cha zo spoločnosti KAIST Softsec Lab, Kórea, zhunki z tímu 360 ESG Codesafe Team
Wi-Fi
Dostupné pre: Apple Watch Series 1 a novšie
Dopad: Útočník s oprávneniami môže byť schopný vykonať útok zameraný na odmietnutie služby
Popis: Dochádzalo k problému súvisiacemu s odmietnutím služby, ktorý bol vyriešený vylepšením overovania.
CVE-2018-4368: Milan Stute a Alex Mariotto z tímu Secure Mobile Networking Lab na Technickej univerzite v Darmstadte
Ďalšie poďakovanie
Podpisovanie certifikátov
Poďakovanie za pomoc si zaslúži Yiğit Can YILMAZ (@yilmazcanyigit).
coreTLS
Poďakovanie za pomoc si zaslúži Eyal Ronen (z Weizmannovho inštitútu), Robert Gillham (z Adelaidskej univerzity), Daniel Genkin (z Michiganskej univerzity), Adi Shamir (z Weizmannovho inštitútu), David Wong (zo spoločnosti NCC Group) a Yuval Yarom (z Adelaidskej univerzity a spoločnosti Data61).
Čítačka Safari
Poďakovanie za pomoc si zaslúži Ryan Pickren (ryanpickren.com).
Zabezpečenie
Poďakovanie za pomoci si zaslúži Marinos Bernitsas zo spoločnosti Parachute.
Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.