Om sikkerhedsindholdet i watchOS 3.2

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 3.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

watchOS 3.2

Lyd

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2430: En anonym programmør, der arbejder hos Trend Micros Zero Day Initiative

CVE-2017-2462: En anonym programmør, der arbejder hos Trend Micros Zero Day Initiative

Carbon

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.

CVE-2017-2379: riusksk (泉哥) fra Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)

Beskrivelse: En uendelig rekursion blev løst via forbedret statusadministration.

CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department

CoreGraphics

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2444: Mei Wang fra 360 GearTeam

CoreText

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)

Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.

CVE-2017-2461: En anonym programmør, Isaac Archambault fra IDAoADI

FontParser

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: Alle Apple Watch-modeller

Effekt: Parsing af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.

CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department

FontParser

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse

Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Fås til: Alle Apple Watch-modeller

Effekt: En skadelig HTTP/2-server kan være årsag til udefineret adfærd

Beskrivelse: Der var flere problemer i nghttp2-versioner før 1.17.0. Disse blev løst ved at opdatere nghttp2 til version 1.17.0.

CVE-2017-2428

ImageIO

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent

ImageIO

Fås til: Alle Apple Watch-modeller

Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2432: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative

ImageIO

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2467

ImageIO

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning

Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i ImageIO til version 4.0.7.

CVE-2016-3619

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.

CVE-2017-2440: En anonym programmør

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder

Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.

CVE-2017-2456: lokihardt fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2472: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.

CVE-2017-2473: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et off-by-one-problem er løst via forbedret kontrol af grænser.

CVE-2017-2474: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En race condition er løst ved forbedret låsning.

CVE-2017-2478: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.

CVE-2017-2482: Ian Beer fra Google Project Zero

CVE-2017-2483: Ian Beer fra Google Project Zero

Kernel

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-2490: Ian Beer fra Google Project Zero, Englands National Cyber Security Centre (NCSC)

Tastaturer

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan køre vilkårlig kode

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Fås til: Alle Apple Watch-modeller

Effekt: En lokal hacker kan ændre arkivsystemtilladelser for vilkårlige biblioteker

Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.

CVE-2017-2390: Omer Medan fra enSilo Ltd

libc++abi

Fås til: Alle Apple Watch-modeller

Effekt: Demangling af et skadeligt C++-program kan medføre kørsel af vilkårlig kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2441

libxslt

Fås til: Alle Apple Watch-modeller

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2017-5029: Holger Fuhrmannek

Sikkerhed

Fås til: Alle Apple Watch-modeller

Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder

Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.

CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.

Sikkerhed

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af et skadeligt x509-certifikatarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af certifikater. Problemet er løst ved forbedret godkendelse af input.

CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos

WebKit

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.

CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tencent.com)

WebKit

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til et højt forbrug af hukommelse

Beskrivelse: Der var et problem med ukontrolleret hukommelsesforbrug, som er løst ved forbedret behandling af regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Fås til: Alle Apple Watch-modeller

Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode

Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.

CVE-2017-2471: Ivan Fratric fra Google Project Zero

Yderligere anerkendelser

XNU

Vi vil gerne takke Lufeng Li fra Qihoo 360 Vulcan Team for sin assistance.