Om säkerhetsinnehållet i watchOS 5

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 5.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

watchOS 5

Släpptes 17 september 2018

CFNetwork

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4126: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

CoreFoundation

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4412: NCSC (National Cyber Security Centre) i Storbritannien

Lades till 30 oktober 2018

CoreFoundation

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan få högre behörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4414: NCSC (National Cyber Security Centre) i Storbritannien

Lades till 30 oktober 2018

CoreText

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2018-4347: en anonym forskare

Lades till 30 oktober 2018

dyld

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett skadligt program kan ändra skyddade delar av filsystemet

Beskrivning: Ett konfigurationsproblem åtgärdades med ytterligare begränsningar.

CVE-2018-4433: Vitaly Cheptsov

Lades till 22 januari 2019

Grand Central Dispatch

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4426: Brandon Azad

Lades till 30 oktober 2018

Heimdal

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4331: Brandon Azad

CVE-2018-4332: Brandon Azad

CVE-2018-4343: Brandon Azad

Lades till 30 oktober 2018

IOHIDFamily

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett skadligt program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering

CVE-2018-4408: Ian Beer på Google Project Zero

Lades till 30 oktober 2018

IOKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett skadligt program kan bryta sig ut från sitt begränsade läge

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4341: Ian Beer på Google Project Zero

CVE-2018-4354: Ian Beer på Google Project Zero

Lades till 30 oktober 2018

IOKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2018-4383: Apple

Lades till 24 oktober 2018

IOUserEthernet    

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4401: Apple

Lades till 30 oktober 2018

iTunes Store

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: En angripare med en privilegierad nätverksposition kan bluffa lösenordsuppmaningar i iTunes Store

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2018-4305: Jerry Decime

Kernel

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med validering av indata förekom i kernel. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2018-4363: Ian Beer på Google Project Zero

Kernel

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2018-4336: Brandon Azad

CVE-2018-4337: Ian Beer på Google Project Zero

CVE-2018-4340: Mohamed Ghannam (@_simo36)

CVE-2018-4344: NCSC (National Cyber Security Centre) i Storbritannien

CVE-2018-4425: cc i samarbete med Trend Micros Zero Day Initiative, Juwei Lin (@panicaII) på Trend Micro i samarbete med Trend Micros Zero Day Initiative

Lades till 24 september 2018 och uppdaterades 30 oktober 2018

Kernel

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett skadligt program kan läcka känslig användarinformation

Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades genom ytterligare begränsningar.

CVE-2018-4399: Fabiano Anemone (@anoane)

Lades till 30 oktober 2018

Kernel

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: En angripare i en privilegierad nätverksposition kan köra opålitlig kod

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2018-4407: Kevin Backhouse på Semmle Ltd.

Lades till 30 oktober 2018

Safari

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Det kan hända att en lokal användare kan se vilka webbplatser som en användare har besökt

Beskrivning: Ett överensstämmelseproblem förekom i hanteringen av programögonblicksbilder. Problemet åtgärdades genom förbättrad hantering av programögonblicksbilder.

CVE-2018-4313: 11 anonyma forskare, David Scott, Enes Mert Ulu hos Abdullah Mürşide Özünenek Anadolu Lisesi – Ankara/Türkiye, Mehmet Ferit Daştan hos Van Yüzüncü Yıl University, Metin Altug Karakaya hos Kaliptus Medical Organization, Vinodh Swami hos Western Governor's University (WGU)

Säkerhet

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen RC4

Beskrivning: Problemet åtgärdades genom att RC4 togs bort.

CVE-2016-1777: Pepi Zawodsky

Säkerhet

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: En lokal användare kan orsaka att tjänster nekas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2018-4395: Patrick Wardle på Digita Security

Lades till 30 oktober 2018

Symptom Framework

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2018-4203: Bruno Keith (@bkth_) i samarbete med Trend Micros Zero Day Initiative

Lades till 30 oktober 2018

Text

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Bearbetning av en skadlig textfil kan leda till att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.

CVE-2018-4304: jianan.huang (@Sevck)

Lades till 30 oktober 2018

WebKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: En webbplats med skadligt innehåll kan orsaka ett oväntat beteende med data från flera källor

Beskrivning: Ett problem med data från flera källor förekom i iframe-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.

CVE-2018-4319: John Pettitt på Google

Lades till 24 september 2018

WebKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Oväntad interaktion leder till ett ASSERT-fel

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2018-4361: upptäcktes av OSS-Fuzz

CVE-2018-4474: upptäcktes av OSS-Fuzz

Lades till 24 september 2018, uppdaterades 22 januari 2019

WebKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Oväntad interaktion leder till ett ASSERT-fel

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2018-4191: upptäcktes av OSS-Fuzz

Lades till 24 september 2018

WebKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: SecurityErrors från flera källor innehåller ursprunget för ramen som öppnas.

Beskrivning: Problemet åtgärdades genom att ta bort information om ursprung.

CVE-2018-4311: Erling Alf Ellingsen (@steike)

Lades till 24 september 2018

WebKit

Tillgängligt för: Apple Watch Series 1 och senare

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2018-4299: Samuel Groβ (saelo) i samarbete med Trend Micros Zero Day Initiative

CVE-2018-4359: Samuel Groß (@5aelo)

CVE-2018-4358: @phoenhex team (@bkth_ @5aelo @_niklasb) i samarbete med Trend Micros Zero Day Initiative

Lades till 24 september 2018

Ytterligare tack

Core Data

Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.

Sandlådeprofiler

Vi vill tacka Tencent Keen Security Lab i samarbete med Trend Micros Zero Day Initiative för deras hjälp.

SQLite

Vi vill tacka Andreas Kurtz (@aykay) på NESO Security Labs GmbH för deras hjälp.

WebKit

Vi vill tacka Tencent Keen Security Lab i samarbete med Trend Micros Zero Day Initiative för deras hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: