Informace o bezpečnostním obsahu watchOS 3
Tento dokument popisuje bezpečnostní obsah watchOS 3.
Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
watchOS 3
Zvuk
K dispozici pro: Všechny modely Apple Watch
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park a Taekyoung Kwon z týmu Information Security Lab, Jonsejská univerzita
CFNetwork
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení uživatelských informací.
Popis: V parsování hlavičky set-cookie existoval problém s ověřováním vstupů. Problém byl vyřešen vylepšením kontroly ověřování.
CVE-2016-4708: Dawid Czagan ze společnosti Silesia Security Lab
CoreCrypto
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód.
Popis: Problém se zápisem mimo rozsah byl vyřešen odstraněním zranitelného kódu.
CVE-2016-4712: Gergo Koteles
FontParser
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2016-4718: Apple
GeoServices
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Ve třídě PlaceData existoval problém s oprávněními. Problém byl vyřešen lepším ověřováním oprávnění.
CVE-2016-4719: Razvan Deaconescu, Mihai Bucicoiu (University POLITEHNICA, Bukurešť); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IOAcceleratorFamily
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2016-4725: Rodger Combs ze společnosti Plex, Inc.
IOAcceleratorFamily
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4726: Anonymní výzkumník
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém se zpracováním zámku byl vyřešen vylepšením správy zámku.
CVE-2016-4772: Marc Heuse ze společnost mh-sec
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.
Popis: Existovalo několik problémů se čtením mimo rozsah, které vedly k odhalení paměti jádra. Tyto problémy byly vyřešeny vylepšením ověřováním vstupů.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4775: Brandon Azad
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Přístup přes nedůvěryhodný ukazatel byl vyřešen odstraněním dotčeného kódu.
CVE-2016-4777: Lufeng Li z týmu Qihoo 360 Vulcan
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4778: CESG
libxml2
K dispozici pro: Všechny modely Apple Watch
Dopad: V knihovně libxml2 existovalo několik problémů, z nichž ty nejzávažnější mohly vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4738: Nick Wellnhofer
Zabezpečení
K dispozici pro: Všechny modely Apple Watch
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: V podepsaných bitových kopiích disků existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování velikosti.
CVE-2016-4753: Mark Mentovai ze společnosti Google Inc.
WebKit
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4737: Apple
Správce Wi-Fi
K dispozici pro: Všechny modely Apple Watch
Dopad: Rozšíření aplikací mohou získat přístup k internetu.
Popis: Několik problémů s vynucováním zásad při sdílení připojení Wi-Fi. Problémy byly vyřešeny vylepšením kontrol oprávnění.
CVE-2016-7699: Proteas z týmu Qihoo 360 Nirvan Team
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.