Informace o bezpečnostním obsahu watchOS 2.2.2
Tento dokument popisuje bezpečnostní obsah watchOS 2.2.2.
Informace o bezpečnostních aktualizacích Apple
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
watchOS 2.2.2
CoreGraphics
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4637: Tyler Bohan ze společnosti Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4632: Evgeny Sidorov ze společnosti Yandex
ImageIO
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4631: Tyler Bohan ze společnosti Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-7705: Craig Young z týmu Tripwire VERT
IOAcceleratorFamily
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování.
CVE-2016-4627: Ju Zhu ze společnosti Trend Micro
IOAcceleratorFamily
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Místnímu uživateli se může podařit číst paměť jádra.
Popis: Problém se čtením mimo rozsah byl vyřešen vylepšením kontroly rozsahu.
CVE-2016-4628: Ju Zhu ze společnosti Trend Micro
IOHIDFamily
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.
CVE-2016-4626: Stefan Esser ze společnosti SektionEins
IOHIDFamily
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4650: Peter Pi ze společnosti Trend Micro ve spolupráci se Zero Day Initiative společnosti HP
Jádro
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-1863: Ian Beer z týmu Google Project Zero
CVE-2016-4653: Ju Zhu ze společnosti Trend Micro
CVE-2016-4582: Shrek_wzw a Proteas z týmu Qihoo 360 Nirvan
Jádro
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Místnímu uživateli se může podařit způsobit systémové odmítnutí služby.
Popis: Přístup přes nulový ukazatel byl vyřešen vylepšením ověřování vstupů.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) ze společnosti KeenLab (@keen_lab), Tencent
Libc
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Vzdálenému útočníkovi se může podařit způsobit nečekané ukončení aplikace nebo spustit libovolný kód.
Popis: Uvnitř funkce „link_ntoa()“ v souboru linkaddr.c existovalo přetečení vyrovnávací paměti. Tento problém byl vyřešen dodatečnou kontrolou rozsahu.
CVE-2016-6559: Apple
libxml2
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Několik bezpečnostních slabin v knihovně libxml2.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2015-8317: Hanno Boeck
CVE-2016-1836: Wei Lei a Liu Yang z Technologické univerzity Nanyang
CVE-2016-4447: Wei Lei a Liu Yang z Technologické univerzity Nanyang
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Parsování škodlivého XML dokumentu může vést k odhalení uživatelských informací.
Popis: V parsování škodlivých XML souborů existoval problém s přístupem. Tento problém byl vyřešen vylepšením ověřování vstupů.
CVE-2016-4449: Kostya Serebryany
libxslt
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Několik bezpečnostních slabin v knihovně libxslt.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Profily sandboxu
K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermès
Dopad: Místní aplikaci se může podařit získat přístup k seznamu procesů.
Popis: Existoval problém s voláními API, která měla vysoká oprávnění. Problém byl vyřešen přidáním dalších omezení.
CVE-2016-4594: Stefan Esser ze společnosti SektionEins
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.