Informace o bezpečnostním obsahu watchOS 4

Tento dokument popisuje bezpečnostní obsah watchOS 4.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.

watchOS 4

Vydáno 19. září 2017

802.1X

K dispozici pro: Všechny modely Apple Watch

Dopad: Útočníkovi se může podařit zneužít slabiny v TLS 1.0.

Popis: Problém se zabezpečením protokolu byl vyřešen zapnutím TLS 1.1 a TLS 1.2.

CVE-2017-13832: anonymní výzkumník

Záznam přidán 31. října 2017

Proxy servery frameworku CFNetwork

K dispozici pro: Všechny modely Apple Watch

Dopad: Útočníkovi s vysokými oprávněními v síti se může podařit způsobit odmítnutí služby.

Popis: Několik problémů s odmítnutím služeb bylo vyřešeno vylepšením správy paměti.

CVE-2017-7083: Abhinav Bansal ze společnosti Zscaler Inc.

Záznam přidán 25. září 2017

CFString

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Záznam přidán 31. října 2017

CoreAudio

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém se čtením mimo rozsah byl vyřešen aktualizováním Opusu na verzi 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) z týmu Mobile Threat Research společnosti Trend Micro

Záznam přidán 25. září 2017

CoreText

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého souboru písma může vést ke spuštění libovolného kódu.

Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Záznam přidán 31. října 2017

file

K dispozici pro: Všechny modely Apple Watch

Dopad: Několik problémů v součásti file.

Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 5.31.

CVE-2017-13815

Záznam přidán 31. října 2017

Písma

K dispozici pro: Všechny modely Apple Watch

Dopad: Vykreslení nedůvěryhodného textu může vést k falšování.

Popis: Problém s nekonzistentním uživatelským rozhraním byl vyřešen vylepšením správy stavu.

CVE-2017-13828: anonymní výzkumník

Záznam přidán 31. října 2017

HFS

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-13830: Sergej Schumilo z Ruhr-Universität Bochum

Záznam přidán 31. října 2017

ImageIO

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého obrázku může vést ke spuštění libovolného kódu.

Popis: Problém s poškozením paměti byl vyřešen vylepšením ověřování vstupů.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Záznam přidán 31. října 2017

ImageIO

K dispozici pro: Všechny modely Apple Watch

Dopad: Zpracování škodlivého obrázku může vést k odmítnutí služeb.

Popis: Ve zpracovávání obrazů disku existoval problém s odhalením informací. Problém byl vyřešen vylepšením správy paměti.

CVE-2017-13831: anonymní výzkumník

Záznam přidán 31. října 2017

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Místnímu uživateli se může podařit číst paměť jádra.

Popis: Existoval problém se čtením mimo rozsah, který vedl k odhalení paměti jádra. Problém byl vyřešen vylepšením ověřování vstupů.

CVE-2017-13817: Maxime Villard (m00nbsd)

Záznam přidán 31. října 2017

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit číst vyhrazenou paměť.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-13818: Národní centrum Spojeného království pro kyberbezpečnost (NCSC)

CVE-2017-13836: anonymní výzkumník a anonymní výzkumník

CVE-2017-13841: anonymní výzkumník

CVE-2017-13840: anonymní výzkumník

CVE-2017-13842: anonymní výzkumník

CVE-2017-13782: anonymní výzkumník

Záznam přidán 31. října 2017

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-13843: anonymní výzkumník a anonymní výzkumník

Záznam přidán 31. října 2017

Jádro

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód s oprávněními k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7114: Alex Plaskett ze společnosti MWR InfoSecurity

Záznam přidán 25. září 2017

libarchive

K dispozici pro: Všechny modely Apple Watch

Dopad: Rozbalení škodlivého archivu může vést ke spuštění libovolného kódu.

Popis: Problém s přetečením vyrovnávací paměti byl vyřešen vylepšením správy paměti.

CVE-2017-13813: nalezeno programem OSS-Fuzz

CVE-2017-13816: nalezeno programem OSS-Fuzz

Záznam přidán 31. října 2017

libarchive

K dispozici pro: Všechny modely Apple Watch

Dopad: Rozbalení škodlivého archivu může vést ke spuštění libovolného kódu.

Popis: V knihovně libarchive existovalo několik problémů s poškozením paměti. Problémy byly vyřešeny vylepšením ověřování vstupů.

CVE-2017-13812: nalezeno programem OSS-Fuzz

Záznam přidán 31. října 2017

libc

K dispozici pro: Všechny modely Apple Watch

Dopad: Vzdálenému útočníkovi se může podařit způsobit odmítnutí služby.

Popis: Problém s vyčerpáním zdrojů v součásti glob() byl vyřešen vylepšením algoritmu.

CVE-2017-7086: Russ Cox ze společnosti Google

Záznam přidán 25. září 2017

libc

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit způsobit odmítnutí služby.

Popis: Problém se spotřebou paměti byl vyřešen vylepšením správy paměti.

CVE-2017-1000373

Záznam přidán 25. září 2017

libexpat

K dispozici pro: Všechny modely Apple Watch

Dopad: Několik problémů v součásti expat.

Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 2.2.1.

CVE-2016-9063

CVE-2017-9233

Záznam přidán 25. září 2017

Zabezpečení

K dispozici pro: Všechny modely Apple Watch

Dopad: Může se stát, že systém bude důvěřovat odvolanému certifikátu.

Popis: Ve zpracovávání dat o odvolaných certifikátech existoval problém s ověřováním certifikátů. Problém byl vyřešen vylepšením ověřování.

CVE-2017-7080: anonymní výzkumník, Sven Driemecker ze společnosti adesso mobile solutions gmbh, anonymní výzkumník, Rune Darrud (@theflyingcorpse) z obce Bærum

Záznam přidán 25. září 2017

SQLite

K dispozici pro: Všechny modely Apple Watch

Dopad: Několik problémů v SQLite.

Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 3.19.3.

CVE-2017-10989: nalezeno programem OSS-Fuzz

CVE-2017-7128: nalezeno programem OSS-Fuzz

CVE-2017-7129: nalezeno programem OSS-Fuzz

CVE-2017-7130: nalezeno programem OSS-Fuzz

Záznam přidán 25. září 2017

SQLite

K dispozici pro: Všechny modely Apple Watch

Dopad: Aplikaci se může podařit spustit libovolný kód se systémovými oprávněními.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7127: anonymní výzkumník

Záznam přidán 25. září 2017

Wi-Fi

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivému kódu spuštěnému na čipu Wi-Fi se může podařit spustit libovolný kód v aplikačním procesoru s oprávněnými k jádru.

Popis: Problém s poškozením paměti byl vyřešen vylepšením správy paměti.

CVE-2017-7103: Gal Beniamini z týmu Google Project Zero

CVE-2017-7105: Gal Beniamini z týmu Google Project Zero

CVE-2017-7108: Gal Beniamini z týmu Google Project Zero

CVE-2017-7110: Gal Beniamini z týmu Google Project Zero

CVE-2017-7112: Gal Beniamini z týmu Google Project Zero

Wi-Fi

K dispozici pro: Všechny modely Apple Watch

Dopad: Škodlivému kódu spuštěnému na čipu Wi-Fi se může podařit číst omezenou paměť jádra.

Popis: Problém s ověřováním byl vyřešen vylepšením sanitizace vstupů.

CVE-2017-7116: Gal Beniamini z týmu Google Project Zero

zlib

K dispozici pro: Všechny modely Apple Watch

Dopad: Několik problémů v součásti zlib.

Popis: Několik problémů bylo vyřešeno aktualizováním na verzi 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Záznam přidán 25. září 2017

Další poděkování

Zabezpečení

Poděkování za pomoc zaslouží Abhinav Bansal ze společnosti Zscaler.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. S používáním internetu jsou neodmyslitelně spojena rizika. Další informace získáte od výrobce. Názvy jiných společností a produktů mohou být ochrannými známkami příslušných vlastníků.

Datum zveřejnění: