Om sikkerhedsindholdet i watchOS 3.1.3

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 3.1.3.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apples sikkerhedsdokumenter henviser til svagheder med et CVE-id, når det er muligt.

watchOS 3.1.3

Udgivet 23. januar 2017

Konti

Fås til: Alle Apple Watch-modeller

Effekt: Afinstallering af en app nulstillede ikke godkendelsesindstillingerne

Beskrivelse: Der var et problem med manglende nulstilling af godkendelsesindstillinger under afinstallering af apps. Problemet er løst ved forbedret rensning.

CVE-2016-7651: Ju Zhu og Lilang Wu fra Trend Micro

APNs-server

Fås til: Alle Apple Watch-modeller

Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet

Beskrivelse: Et klientcertifikat blev sendt i simpel tekst. Problemet er løst ved forbedret håndtering af certifikater.

CVE-2017-2383: Matthias Wachs og Quirin Scheitle fra Technical University Munich (TUM)

Post tilføjet 28. marts 2017

Lyd

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7658: Haohao Kong fra Keen Lab (@keen_lab), Tencent

CVE-2016-7659: Haohao Kong fra Keen Lab (@keen_lab), Tencent

CoreFoundation

Fås til: Alle Apple Watch-modeller

Effekt: Behandlingen af skadelige strenge kan forårsage uventet programlukning eller kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse i håndteringen af strenge. Problemet er løst via forbedret kontrol af grænser.

CVE-2016-7663: En anonym programmør

CoreGraphics

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre uventet programlukning

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

Afspilning af CoreMedia

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt .mp4-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7588: dragonltx fra Huawei 2012 Laboratories

CoreText

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer med beskadiget hukommelse i håndteringen af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.

CVE-2016-7595: riusksk(泉哥) fra Tencent Security Platform Department

Diskbilleder

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7616: daybreaker@Minionz, der arbejder med Trend Micros Zero Day Initiative

FontParser

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var flere problemer med beskadiget hukommelse i håndteringen af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.

CVE-2016-4691: riusksk(泉哥) fra Tencent Security Platform Department

FontParser

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2016-4688: Simon Huang fra Alipay company, thelongestusernameofall@gmail.com

ICU

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7594: André Bargull

ImageIO

Fås til: Alle Apple Watch-modeller

Effekt: En ekstern hacker kan lække hukommelse

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-7643: Yangkang (@dnpushme) fra Qihoo360 Qex Team

IOHIDFamily

Fås til: Alle Apple Watch-modeller

Effekt: Et lokalt program med systemrettigheder kan køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7591: daybreaker fra Minionz

IOKit

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis læse kernehukommelsen

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7657: Keen Lab, der arbejder med Trend Micros Zero Day Initiative

IOKit

Fås til: Alle Apple Watch-modeller

Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

Beskrivelse: Et problem med delt hukommelse er løst ved forbedret hukommelseshåndtering.

CVE-2016-7714: Qidan He (@flanker_hqd) fra KeenLab, der arbejder med Trend Micros Zero Day Initiative

Post tilføjet 25. januar 2017

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7606: Chen Qin fra Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis læse kernehukommelsen

Beskrivelse: Et problem med utilstrækkelig initialisering er løst ved at initialisere hukommelse, der returneres til brugerområdet, korrekt.

CVE-2016-7607: Brandon Azad

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: Et DoS-problem er løst ved forbedret hukommelsesbehandling.

CVE-2016-7615: National Cyber Security Centre (NCSC) i Storbritannien

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: En lokal bruger kan fremkalde uventet systemlukning eller kørsel af vilkårlig kode i kernen

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7621: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2016-7637: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et lokalt program med systemrettigheder kan køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2016-7644: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis fremkalde denial of service

Beskrivelse: Et DoS-problem er løst ved forbedret hukommelsesbehandling.

CVE-2016-7647: Lufeng Li fra Qihoo 360 Vulcan Team

Post tilføjet 17. maj 2017

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-2370: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2360: Ian Beer fra Google Project Zero

libarchive

Fås til: Alle Apple Watch-modeller

Effekt: En lokal hacker kan muligvis overskrive eksisterende arkiver

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2016-7619: En anonym programmør

libarchive

Fås til: Alle Apple Watch-modeller

Effekt: Udpakning af et skadeligt arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2016-8687: Agostino Sarubbo fra Gentoo

Beskrivelser

Fås til: Alle Apple Watch-modeller

Effekt: Åbning af et skadeligt certifikat kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse i behandlingen af certifikatbeskrivelser. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Sikkerhed

Fås til: Alle Apple Watch-modeller

Effekt: En hacker kan udnytte svagheder i 3DES-kryptografialgoritmen

Beskrivelse: 3DES er fjernet som standardchifferen.

CVE-2016-4693: Gaëtan Leurent og Karthikeyan Bhargavan fra INRIA Paris

Sikkerhed

Fås til: Alle Apple Watch-modeller

Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde et denial of service-angreb

Beskrivelse: Der var et godkendelsesproblem i håndteringen af URL-svaradresser til OCSP. Problemet er løst ved kontrol af OCSP-tilbagekaldelsesstatus efter CA-godkendelse og begrænsning af antallet af OCSP-anmodninger pr. certifikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Sikkerhed

Fås til: Alle Apple Watch-modeller

Effekt: Certifikater kan uventet behandles som pålidelige

Beskrivelse: Der var et problem med certifikatbehandlingen under certifikatgodkendelsen. Problemet er løst ved yderligere godkendelse af certifikater.

CVE-2016-7662: Apple

syslog

Fås til: Alle Apple Watch-modeller

Effekt: En lokal bruger kan opnå rodrettigheder

Beskrivelse: Et problem med mach_port-navnehenvisninger er løst via forbedret godkendelse.

CVE-2016-7660: Ian Beer fra Google Project Zero

Lås op med iPhone

Fås til: Alle Apple Watch-modeller

Effekt: Apple Watch kan låse op, når det er taget af brugerens håndled

Beskrivelse: Et logikproblem er løst via forbedret statusadministration.

CVE-2017-2352: Ashley Fernandez fra raptAware Pty Ltd

Post opdateret 25. januar 2017

WebKit

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst via forbedret statusadministration.

CVE-2016-7589: Apple

WebKit

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til cross-origin-eksfiltration af data

Beskrivelse: Der var flere godkendelsesproblemer i håndteringen af sideindlæsning. Problemet er løst ved forbedret logik.

CVE-2017-2363: lokihardt fra Google Project Zero

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: