Informacije o sigurnosnom sadržaju sustava watchOS 4
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 4.
Informacije o Appleovim sigurnosnim ažuriranjima
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
watchOS 4
802.1X
Dostupno za: sve modele Apple Watch uređaja
Učinak: napadači su mogli iskoristiti slabe točke u TLS-u 1.0
Opis: problem sa sigurnošću protokola riješen je tako da su omogućeni TLS 1.1 i TLS 1.2.
CVE-2017-13832: Doug Wussler (Floridsko sveučilište)
CFNetwork
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13829: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
CVE-2017-13833: Niklas Baumstark i Samuel Gro u suradnji s inicijativom Zero Day (Trend Micro)
CFNetwork proxyji
Dostupno za: sve modele Apple Watch uređaja
Učinak: napadači s mrežnim ovlastima mogli su izazvati odbijanje usluge
Opis: veći broj problema s odbijanjem usluge riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
CFString
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13821: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
CoreAudio
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: čitanje ograničene memorije riješeno je ažuriranjem na Opus verzije 1.1.4.
CVE-2017-0381: V.E.O ((@VYSEa), istraživački tim za mobilne prijetnje (Trend Micro))
Jezgreni tekst
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne datoteke fonta moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13825: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
datoteka
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u datoteci
Opis: veći broj problema riješen je ažuriranjem na verziju 5.31.
CVE-2017-13815: otkrio OSS-Fuzz
Fontovi
Dostupno za: sve modele Apple Watch uređaja
Učinak: obrada teksta iz nepouzdanog izvora mogla je dovesti do lažnog predstavljanja
Opis: problem s nedosljednim sučeljem riješen je poboljšanim upravljanjem stanjem.
CVE-2017-13828: Leonard Grey i Robert Sesek (Google Chrome)
HFS
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13830: Sergej Schumilo (sveučilište Ruhr-Universität Bochum)
Ulaz i izlaz slika
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne slike moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13814: Australski centar za kibernetičku sigurnost – Australska obavještajna agencija za informacijsku sigurnost
Ulaz i izlaz slika
Dostupno za: sve modele Apple Watch uređaja
Učinak: obrada zlonamjerne slike može izazvati odbijanje usluge
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13831: Glen Carmichael
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: lokalni korisnici mogli su čitati kernelsku memoriju
Opis: otkriven je problem s prekoračenjem čitanja, koji je doveo do otkrivanja sadržaja kernelske memorije. Problem je riješen poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle čitati ograničenu memoriju
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-13818: Britanski nacionalni centar za kibernetičku sigurnost (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: anonimni istraživač
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13843: anonimni istraživač, anonimni istraživač
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13854: shrek_wzw (tim Nirvan tvrtke Qihoo 360)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom oštećenog mach binarnog formata može doći do izvršavanja proizvoljnog koda
Opis: problem oštećenja memorije riješen je poboljšanom provjerom valjanosti.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: zlonamjerne aplikacije mogu otkriti podatke o prisutnosti i radu drugih aplikacija na uređaju.
Opis: aplikacija je mogla pristupiti podacima o mrežnoj aktivnosti koje operacijski sustav nije ograničio. Taj je problem riješen smanjivanjem broja podataka dostupnih aplikacijama drugih proizvođača.
CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang (Sveučilište u Ohiju), Xueqiang Wang i XiaoFeng Wang (Sveučilište Bloomington u Indiani) i Xiaolong Bai (Sveučilište Tsinghua)
libarchive
Dostupno za: sve modele Apple Watch uređaja
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s prekoračenjem međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-13813: otkrio OSS-Fuzz
CVE-2017-13816: otkrio OSS-Fuzz
libarchive
Dostupno za: sve modele Apple Watch uređaja
Učinak: raspakiravanjem zlonamjerne arhive moglo je doći do izvršavanja proizvoljnog koda
Opis: u biblioteci libarchive otkriven je veći broj problema s neispravnom memorijom. Ti su problemi riješeni poboljšanom provjerom ulaza.
CVE-2017-13812: otkrio OSS-Fuzz
libc
Dostupno za: sve modele Apple Watch uređaja
Učinak: udaljeni napadači mogli su izazvati odbijanje usluge
Opis: problem s pražnjenjem resursa u entitetu glob() riješen je poboljšanim algoritmom.
CVE-2017-7086: Russ Cox (Google)
libc
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke su aplikacije mogle izazvati odbijanje usluge
Opis: problem s potrošnjom memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-1000373
libexpat
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u biblioteci expat
Opis: veći broj problema riješen je ažuriranjem na verziju 2.2.1
CVE-2016-9063
CVE-2017-9233
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s korištenjem memorijom nakon njezina oslobađanja riješen je poboljšanim upravljanjem memorijom.
CVE-2017-9049: Wei Lei i Liu Yang – Tehnološko sveučilište u Nanjangu u Singapuru
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s preljevom međuspremnika riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7376: anonimni istraživač
CVE-2017-5130: anonimni istraživač
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)
libxml2
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjerne XML datoteke može se uzrokovati neočekivano zatvaranje aplikacije ili izvršavanje proizvoljnog koda
Opis: dereferenca pokazivača s vrijednošću null riješena je poboljšanom provjerom valjanosti.
CVE-2018-4302: Gustavo Grieco
Sigurnost
Dostupno za: sve modele Apple Watch uređaja
Učinak: neki opozvani certifikati mogli su se tretirati kao pouzdani
Opis: u rukovanju opozvanim podacima otkriven je problem s provjerom valjanosti certifikata. Problem je riješen poboljšanom provjerom valjanosti.
CVE-2017-7080: anonimni istraživač, Sven Driemecker (adesso mobile solutions gmbh), anonimni istraživač, Rune Darrud (@theflyingcorpse (Bærum kommune))
SQLite
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u bazi podataka SQLite
Opis: veći broj problema riješen je ažuriranjem na verziju 3.19.3.
CVE-2017-10989: otkrio OSS-Fuzz
CVE-2017-7128: otkrio OSS-Fuzz
CVE-2017-7129: otkrio OSS-Fuzz
CVE-2017-7130: otkrio OSS-Fuzz
SQLite
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz sistemske ovlasti neke su aplikacije mogle izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7127: anonimni istraživač
Wi-Fi
Dostupno za: sve modele Apple Watch uređaja
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do izvršenja proizvoljnog koda s kernelskim ovlastima na procesoru za aplikacije
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Dostupno za: sve modele Apple Watch uređaja
Učinak: pokretanje zlonamjernog koda na čipu za Wi-Fi može dovesti do čitanja ograničene kernelske memorije
Opis: problem s provjerom valjanosti riješen je poboljšanom sanitizacijom ulaznih podataka.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
zlib
Dostupno za: sve modele Apple Watch uređaja
Učinak: veći broj problema u biblioteci zlib
Opis: veći broj problema riješen je ažuriranjem na verziju 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Dodatna zahvala
Sigurnost
Na pomoći zahvaljujemo Abhinavu Bansalu (Zscaler, Inc.).
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.