Informace o bezpečnostním obsahu watchOS 2.2

Tento dokument popisuje bezpečnostní obsah watchOS 2.2.

Apple v zájmu ochrany zákazníků nezveřejňuje, nerozebírá ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřeny a nejsou k dispozici potřebné opravy nebo aktualizace. Podrobnější informace o zabezpečení produktů Apple najdete na webové stránce Zabezpečení produktů Apple.

Informace o klíči PGP zabezpečení produktů Apple najdete v článku Jak používat klíč PGP zabezpečení produktů Apple.

Pokud je to možné, jako odkazy na další informace o bezpečnostních chybách se používají identifikátory CVE ID.

Informace o dalších bezpečnostních aktualizacích najdete v článku Bezpečnostní aktualizace Apple.

watchOS 2.2

  • Obrazy disků

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna spustit libovolný kód s oprávněními k jádru.

    Popis: Při syntaktické analýze obrazů disků docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1717: Frank Graziano z týmu Yahoo! Pentest Team

  • FontParser

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Otevření škodlivého PDF souboru může vést k nečekanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Problém s poškozením paměti byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1740: HappilyCoded (ant4g0nist a r3dsm0k3) ve spolupráci s iniciativou Zero Day Initiative (ZDI) společnosti Trend Micro

  • HTTPProtocol

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Vzdálený útočník může být schopen spustit libovolný kód.

    Popis: Knihovna nghttp2 obsahovala ve verzích před 1.6.0 několik bezpečnostních slabin, přičemž ta nejzávažnější mohla vést ke vzdálenému spuštění kódu. Problémy byly vyřešeny aktualizací nghttp2 na verzi 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna spustit libovolný kód s oprávněními k jádru.

    Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1719: Ian Beer z týmu Google Project Zero

  • IOHIDFamily

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna rozpoznat rozvržení paměti jádra.

    Popis: Problém s poškozením paměti byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Jádro

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna spustit libovolný kód s oprávněními k jádru.

    Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1720: Ian Beer z týmu Google Project Zero

    CVE-2016-1721: Ian Beer z týmu Google Project Zero a Ju Zhu ze společnosti Trend Micro

    CVE-2016-1754: Lufeng Li z týmu Qihoo 360 Vulcan

    CVE-2016-1755: Ian Beer z týmu Google Project Zero

  • Jádro

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna spustit libovolný kód s oprávněními k jádru.

    Popis: Problém s použitím ukazatele po uvolnění byl vyřešen vylepšením správy paměti.

    CVE-ID

    CVE-2016-1750: CESG

  • Jádro

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna spustit libovolný kód s oprávněními k jádru.

    Popis: Několik problémů s přetečením celých čísel bylo vyřešeno lepším ověřováním vstupů.

    CVE-ID

    CVE-2016-1753: Juwei Lin ze společnosti Trend Micro ve spolupráci s iniciativou Zero Day Initiative (ZDI) společnosti Trend Micro

  • Jádro

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna obcházet podepisování kódů.

    Popis: Docházelo k problému s oprávněními, při kterém bylo nesprávně přidělováno oprávnění ke spuštění. Problém byl vyřešen lepším ověřováním oprávnění.

    CVE-ID

    CVE-2016-1751: Eric Monti ze společnosti Square Mobile Security

  • Jádro

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna způsobit odepření služby.

    Popis: Problém s odepřením služby byl vyřešen lepším ověřováním.

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale ze společnosti Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany ze společnosti Google

    CVE-2015-7942: Kostya Serebryany ze společnosti Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff ve spolupráci s iniciativou Zero Day Initiative (ZDI) společnosti Trend Micro

    CVE-2016-1762

  • libxslt

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Zpracování škodlivého XML souboru může vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

    Popis: Problém se záměnou typů byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2015-7995: puzzor 

  • Zprávy

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Útočník, který je schopen obcházet připínání certifikátů Apple, zachytávat TLS spojení, vkládat vlastní zprávy a zaznamenávat šifrované zprávy s přílohami, může být schopen číst obsah příloh.

    Popis: Problém se šifrováním byl vyřešen odmítáním duplicitních zpráv na straně klienta.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miersa Michael Rushanan z Univerzity Johnse Hopkinse

  • Zabezpečení

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Zpracování škodlivého certifikátu může vést ke spuštění libovolného kódu.

    Popis: V dekodéru ASN.1 docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšeným ověřováním vstupů.

    CVE-ID

    CVE-2016-1950: Francis Gabriel ze společnosti Quarkslab

  • Syslog

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Aplikace může být schopna spustit libovolný kód s oprávněními k jádru.

    Popis: Problém s poškozením paměti byl vyřešen vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1722: Joshua J. Drake a Nikias Bassen ze společnosti Zimperium zLabs

  • TrueTypeScaler

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

    Popis: Při zpracovávání souborů písem docházelo k problému s poškozením paměti. Problém byl vyřešen vylepšeným ověřováním vstupů.

    CVE-ID

    CVE-2016-1775: 0x1byte ve spolupráci s iniciativou Zero Day Initiative (ZDI) společnosti Trend Micro

  • WebKit

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

    Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšenou správou paměti.

    CVE-ID

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • Wi-Fi

    K dispozici pro: Apple Watch Sport, Apple Watch, Apple Watch Edition a Apple Watch Hermes

    Dopad: Útočník s vysokými oprávněními v síti může být schopen spouštět libovolný kód.

    Popis: U daných hodnot EtherType docházelo k problému s ověřováním rámců a poškozením paměti. Problém byl vyřešen přidáním dodatečného ověřování hodnoty EtherType a vylepšením správy paměti.

    CVE-ID

    CVE-2016-0801: Anonymní výzkumník

    CVE-2016-0802: Anonymní výzkumník

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: