Informace o bezpečnostním obsahu watchOS 3

Tento dokument popisuje bezpečnostní obsah watchOS 3.

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.

watchOS 3

Vydáno 13. září 2016

Zvuk

K dispozici pro: Všechny modely Apple Watch

Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park a Taekyoung Kwon z týmu Information Security Lab, Jonsejská univerzita

Záznam přidán 20. září 2016

CFNetwork

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést k odhalení uživatelských informací.

Popis: V parsování hlavičky set-cookie existoval problém s ověřováním vstupů. Problém byl vyřešen vylepšením kontroly ověřování.

CVE-2016-4708: Dawid Czagan ze společnosti Silesia Security Lab

Záznam přidán 20. září 2016

CoreCrypto

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód.

Popis: Problém se zápisem mimo rozsah byl vyřešen odstraněním zranitelného kódu.

CVE-2016-4712: Gergo Koteles

Záznam přidán 20. září 2016

FontParser

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.

Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.

CVE-2016-4718: Apple

Záznam přidán 20. září 2016

GeoServices

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit číst citlivé polohové informace.

Popis: Ve třídě PlaceData existoval problém s oprávněními. Problém byl vyřešen vylepšením ověřování oprávnění.

CVE-2016-4719: Razvan Deaconescu, Mihai Bucicoiu (University POLITEHNICA, Bukurešť); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IOAcceleratorFamily

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2016-4725: Rodger Combs ze společnosti Plex, Inc.

Záznam přidán 20. září 2016

IOAcceleratorFamily

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4726: Anonymní výzkumník

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém se zpracováním zámku byl vyřešen vylepšením správy zámku.

CVE-2016-4772: Marc Heuse ze společnost mh-sec

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.

Popis: Existovalo několik problémů se čtením mimo rozsah, které vedly k odhalení paměti jádra. Tyto problémy byly vyřešeny vylepšením ověřováním vstupů.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4775: Brandon Azad

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Přístup přes nedůvěryhodný ukazatel byl vyřešen odstraněním dotčeného kódu.

CVE-2016-4777: Lufeng Li z týmu Qihoo 360 Vulcan

Záznam přidán 20. září 2016

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2016-4778: CESG

Záznam přidán 20. září 2016

libxml2

K dispozici pro: Všechny modely Apple Watch

Dopad: V knihovně libxml2 existovalo několik problémů, z nichž ty nejzávažnější mohly vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Záznam přidán 20. září 2016

libxslt

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2016-4738: Nick Wellnhofer

Záznam přidán 20. září 2016

Zabezpečení

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.

Popis: V podepsaných bitových kopiích disků existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování velikosti.

CVE-2016-4753: Mark Mentovai ze společnosti Google Inc.

Záznam přidán 20. září 2016

WebKit

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2016-4737: Apple

Záznam přidán 20. září 2016

WiFi Manager

K dispozici pro: Všechny modely Apple Watch

Dopad: Rozšíření aplikací mohou získat přístup k internetu

Popis: Několik problémů s vynucováním zásad při sdílení připojení Wi-Fi. Problémy byly vyřešeny vylepšením kontrol oprávnění.

CVE-2016-7699: Proteas z týmu Qihoo 360 Nirvan Team

Záznam přidán 17. května 2017

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: