Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.
Podrobnější informace o zabezpečení najdete na stránce Zabezpečení produktů Apple. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.
Pokud je to možné, bezpečnostní dokumenty Apple odkazují na bezpečnostní slabiny pomocí identifikátorů CVE-ID.
watchOS 3
Vydáno 13. září 2016
Zvuk
K dispozici pro: Všechny modely Apple Watch
Dopad: Vzdálenému útočníkovi se může podařit spustit libovolný kód.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park a Taekyoung Kwon z týmu Information Security Lab, Jonsejská univerzita
Záznam přidán 20. září 2016
CFNetwork
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení uživatelských informací.
Popis: V parsování hlavičky set-cookie existoval problém s ověřováním vstupů. Problém byl vyřešen vylepšením kontroly ověřování.
CVE-2016-4708: Dawid Czagan ze společnosti Silesia Security Lab
Záznam přidán 20. září 2016
CoreCrypto
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód.
Popis: Problém se zápisem mimo rozsah byl vyřešen odstraněním zranitelného kódu.
CVE-2016-4712: Gergo Koteles
Záznam přidán 20. září 2016
FontParser
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého písma může vést k odhalení procesní paměti.
Popis: Ve zpracování souborů písem existoval problém s přetečením vyrovnávací paměti. Problém byl vyřešen vylepšením kontroly rozsahu.
CVE-2016-4718: Apple
Záznam přidán 20. září 2016
GeoServices
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit číst citlivé polohové informace.
Popis: Ve třídě PlaceData existoval problém s oprávněními. Problém byl vyřešen lepším ověřováním oprávnění.
CVE-2016-4719: Razvan Deaconescu, Mihai Bucicoiu (University POLITEHNICA, Bukurešť); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IOAcceleratorFamily
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést k odhalení procesní paměti.
Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.
CVE-2016-4725: Rodger Combs ze společnosti Plex, Inc.
Záznam přidán 20. září 2016
IOAcceleratorFamily
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4726: Anonymní výzkumník
Záznam přidán 20. září 2016
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.
Popis: Problém se zpracováním zámku byl vyřešen vylepšením správy zámku.
CVE-2016-4772: Marc Heuse ze společnost mh-sec
Záznam přidán 20. září 2016
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit zjistit rozvržení paměti jádra.
Popis: Existovalo několik problémů se čtením mimo rozsah, které vedly k odhalení paměti jádra. Tyto problémy byly vyřešeny vylepšením ověřováním vstupů.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Záznam přidán 20. září 2016
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Místnímu uživateli se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4775: Brandon Azad
Záznam přidán 20. září 2016
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Přístup přes nedůvěryhodný ukazatel byl vyřešen odstraněním dotčeného kódu.
CVE-2016-4777: Lufeng Li z týmu Qihoo 360 Vulcan
Záznam přidán 20. září 2016
Jádro
K dispozici pro: Všechny modely Apple Watch
Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4778: CESG
Záznam přidán 20. září 2016
libxml2
K dispozici pro: Všechny modely Apple Watch
Dopad: V knihovně libxml2 existovalo několik problémů, z nichž ty nejzávažnější mohly vést k neočekávanému ukončení aplikace nebo ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
Záznam přidán 20. září 2016
libxslt
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.
CVE-2016-4738: Nick Wellnhofer
Záznam přidán 20. září 2016
Zabezpečení
K dispozici pro: Všechny modely Apple Watch
Dopad: Škodlivá aplikace může spouštět libovolný kód se systémovými oprávněními.
Popis: V podepsaných bitových kopiích disků existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování velikosti.
CVE-2016-4753: Mark Mentovai ze společnosti Google Inc.
Záznam přidán 20. září 2016
WebKit
K dispozici pro: Všechny modely Apple Watch
Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.
Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.
CVE-2016-4737: Apple
Záznam přidán 20. září 2016
Správce Wi-Fi
K dispozici pro: Všechny modely Apple Watch
Dopad: Rozšíření aplikací mohou získat přístup k internetu.
Popis: Několik problémů s vynucováním zásad při sdílení připojení Wi-Fi. Problémy byly vyřešeny vylepšením kontrol oprávnění.
CVE-2016-7699: Proteas z týmu Qihoo 360 Nirvan Team
Záznam přidán 17. května 2017