نبذة حول محتوى أمان نظام التشغيل watchOS 3.1.3

يتناول هذا المستند محتوى أمان نظام التشغيل watchOS 3.1.3.

معلومات حول تحديثات الأمان من Apple

لحماية عملائنا، تحرص Apple على عدم الإفصاح عن مشاكل الأمان أو طرحها للنقاش أو تأكيدها حتى يتم تقصي الأمر وتوفير تصحيحات أو إصدارات جديدة. يتمّ إدراج أحدث الإصدارات في صفحة تحديثات أمان Apple.

للحصول على مزيد من المعلومات حول الأمان، يُمكنك الاطلاع على صفحة أمان منتجات Apple. يمكنك تشفير اتصالاتك مع Apple باستخدام مفتاح PGP لأمان منتجات Apple.

عند اللزوم، تشير مستندات الأمان في Apple إلى الثغرات الأمنية من خلال CVE-ID.

watchOS 3.1.3

الحسابات

متوفر لما يلي: جميع طرز Apple Watch

التأثير: لم يؤدِ إلغاء تثبيت أحد التطبيقات إلى إعادة تعيين إعدادات التخويل

الوصف: وُجدت مشكلة تتعلق بتعذر إعادة تعيين إعدادات التخويل عند إلغاء تثبيت أحد التطبيقات. تمّت معالجة هذه المشكلة من خلال الإبراء المحسّن.

CVE-2016-7651: Ju Zhu وLilang Wu من Trend Micro

خادم خدمة إرسال الإخطارات من Apple (APNs)

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن مهاجم يتمتع بمنصب ذي امتيازات في الشبكة من تتبع نشاط مستخدم

الوصف: تم إرسال شهادة العميل في نص عادي. تمّت معالجة هذه المشكلة من خلال المعالجة المحسّنة للشهادة.

CVE-2017-2383:‏ Matthias Wachs وQuirin Scheitle من Technical University Munich (TUM)

الصوت

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-7658:‏ Haohao Kong من Keen Lab ‏(@keen_lab) في Tencent

CVE-2016-7659:‏ Haohao Kong من Keen Lab ‏(@keen_lab) في Tencent

CoreFoundation

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة سلاسل متطفّلة إلى إنهاء غير متوقع للتطبيق أو تنفيذ تعليمة برمجية عشوائية

الوصف: وُجدت مشكلة تتعلق بتلف الذاكرة خلال معالجة السلاسل. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2016-7663: باحث غير معلوم الهوية

CoreGraphics

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى إنهاء التطبيق بطريقة غير متوقعة

الوصف: تمت معالجة مشكلة المرجعية الصفرية للمؤشر من خلال التحقق المحسّن من الإدخال.

CVE-2016-7627:‏ TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

CoreMedia Playback

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف .mp4 متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-7588:‏ dragonltx من Huawei 2012 Laboratories

CoreText

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجدت العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

CVE-2016-7595:‏ riusksk(泉哥) من Tencent Security Platform Department

صور القرص

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-7616:‏ daybreaker@Minionz يعمل مع مبادرة Zero Day من Trend Micro

FontParser

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجدت العديد من المشاكل المتعلقة بتلف الذاكرة أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشاكل من خلال الفحص المحسّن للحدود.

CVE-2016-4691:‏ riusksk(泉哥) من Tencent Security Platform Department

FontParser

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة ملف خط متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجد تجاوز في ذاكرة التخزين المؤقت أثناء معالجة ملفات الخطوط. تمت معالجة هذه المشكلة عبر الفحص المحسّن للحدود.

CVE-2016-4688‏: Simon Huang من شركة Alipay، thelongestusernameofall@gmail.com

ICU

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-7594:‏ André Bargull

ImageIO

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن مهاجم عن بُعد من تسريب محتوى الذاكرة

الوصف: تمت معالجة القراءة غير المسموح بها من خلال التحقق المحسّن من الحدود.

CVE-2016-7643:‏ Yangkang ‏(@dnpushme) من فريق Qihoo360 Qex Team

IOHIDFamily

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن تطبيق محلي يتمتع بامتيازات في النظام من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2016-7591:‏ daybreaker من Minionz

IOKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة kernel

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-7657‏: Keen Lab يعمل مع مبادرة Zero Day Initiative من Trend Micro

IOKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: يُمكن لمستخدم محلي تحديد تخطيط ذاكرة kernel

الوصف: تمت معالجة مشكلة الذاكرة المشتركة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-7714:‏ Qidan He ‏(@flanker_hqd) من KeenLab يعمل مع مبادرة Zero Day Initiative من Trend Micro

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة العديد من المشاكل المتعلقة بتلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-7606‏: Chen Qin من فريق Topsec Alpha Team ‏(topsec.com)، ‏@cocoahuke

CVE-2016-7612:‏ Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن أحد التطبيقات من قراءة ذاكرة kernel

الوصف: تمت معالجة مشكلة التهيئة غير الكافية من خلال إعادة الذاكرة المهيأة جيدًا إلى مساحة المستخدم.

CVE-2016-7607:‏ Brandon Azad

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن مستخدم محلي من التسبب في رفض النظام للخدمة

الوصف: تمت معالجة مشكلة رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-7615: مركز National Cyber Security Centre ‏(NCSC) في المملكة المتحدة

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: يُمكن لمستخدم محلي التسبب في إنهاء غير متوقع للنظام أو تنفيذ تعليمة برمجية عشوائية في kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2016-7621:‏ Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-7637:‏ Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن تطبيق محلي يتمتع بامتيازات في النظام من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2016-7644: Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتسبب أحد التطبيقات في رفض للخدمة

الوصف: تمت معالجة مشكلة رفض الخدمة من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-7647: Lufeng Li من Qihoo 360 Vulcan Team

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2017-2370‏: Ian Beer من Google Project Zero

Kernel

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن أحد التطبيقات من تنفيذ تعليمة برمجية عشوائية باستخدام امتيازات kernel

الوصف: تمت معالجة مشكلة استخدام المؤشر بعد تحريره من خلال الإدارة المحسّنة للذاكرة.

CVE-2017-2360‏: Ian Beer من Google Project Zero

libarchive

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن مخترق محلي من استبدال الملفات الحالية

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة الارتباطات الرمزية. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من الارتباطات الرمزية.

CVE-2016-7619: باحث غير معلوم الهوية

libarchive

متوفر لما يلي: جميع طرز Apple Watch

التأثير: يُمكن أن يؤدي فك حزمة أرشيف متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تجاوز سعة المخزن المؤقت من خلال المعالجة المحسّنة للذاكرة.

CVE-2016-8687‏: Agostino Sarubbo من Gentoo

ملفات التعريف

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يؤدي فتح شهادة متطفّلة إلى تنفيذ تعليمة برمجية عشوائية

الوصف: وُجدت مشكلة تتعلق بتلف في الذاكرة أثناء معالجة ملفات تعريف الشهادة. تمت معالجة هذه المشكلة من خلال التحقق المحسّن من صحة الإدخال.

CVE-2016-7626:‏ Maksymilian Arciemowicz (cxsecurity.com)

الأمان

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن أحد المخترقين من استغلال نقطة الضعف في خوارزمية تشفير الرسوم 3DES.

الوصف: تمت إزالة 3DES باعتباره تشفيرًا افتراضيًا.

CVE-2016-4693:‏ Gaëtan Leurenta وKarthikeyan Bhargavan من INRIA Paris

الأمان

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكّن مخترق يتمتع بمنصب ذي امتيازات في الشبكة من التسبب في رفض للخدمة

الوصف: وُجدت مشكلة تتعلق بالتحقق في معالجة عناوين URL للمستجيب في OCSP. تمت معالجة المشكلة من خلال التحقق من حالة إبطال OCSP بعد التحقق من CA وتقييد عدد طلبات OCSP لكل شهادة.

CVE-2016-7636:‏ Maksymilian Arciemowicz (cxsecurity.com)

الأمان

متوفر لما يلي: جميع طرز Apple Watch

التأثير: يُمكن تقييم الشهادات بطريقة غير متوقعة بوصفها موثوقة.

الوصف: وُجدت مشكلة في تقييم الشهادة في التحقق من الشهادة. تمت معالجة هذه المشكلة من خلال المصادقة الإضافية للشهادات.

CVE-2016-7662:‏ Apple

syslog

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتمكن مستخدم محلي من الحصول على امتيازات الجذر

الوصف: تمت معالجة مشكلة في مطابقة مراجع اسم المنفذ من خلال المصادقة المحسّنة.

CVE-2016-7660:‏ Ian Beer من Google Project Zero

إلغاء القفل مع iPhone

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد يتم إلغاء قفل Apple Watch عند الخلع من معصم المستخدم

الوصف: تمت معالجة مشكلة تتعلق بالمنطق من خلال الإدارة المحسّنة للحالة.

CVE-2017-2352‏: Ashley Fernandez من شركة raptAware Pty Ltd

WebKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى تنفيذ تعليمة برمجية عشوائية

الوصف: تمت معالجة مشكلة تلف الذاكرة من خلال الإدارة المحسنة للحالة.

CVE-2016-7589‏: Apple

WebKit

متوفر لما يلي: جميع طرز Apple Watch

التأثير: قد تؤدي معالجة محتوى ويب متطفّل إلى التصفية المسبقة لبيانات عبر الأصل

الوصف: وُجد العديد من المشاكل المتعلقة بالتحقق في معالجة تحميل الصفحات. تمت معالجة هذه المشكلة من خلال المنطق المحسّن.

CVE-2017-2363:‏ lokihardt من Google Project Zero