Om sikkerhedsindholdet i watchOS 3.2
Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 3.2.
Om Apple-sikkerhedsopdateringer
Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.
Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.
Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.
watchOS 3.2
Lyd
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt lydarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2430: En anonym programmør, der arbejder hos Trend Micros Zero Day Initiative
CVE-2017-2462: En anonym programmør, der arbejder hos Trend Micros Zero Day Initiative
Carbon
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt .dfont-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et bufferoverløb ved behandlingen af skriftarkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-2017-2379: riusksk (泉哥) fra Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt billede kan medføre DoS (Denial of Service)
Beskrivelse: En uendelig rekursion blev løst via forbedret statusadministration.
CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department
CoreGraphics
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2444: Mei Wang fra 360 GearTeam
CoreText
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af en skadelig sms kan medføre anvendelse af DoS (Denial of Service)
Beskrivelse: Et problem med opbrugte ressourcer blev rettet gennem forbedret inputvalidering.
CVE-2017-2461: En anonym programmør, Isaac Archambault fra IDAoADI
FontParser
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Fås til: Alle Apple Watch-modeller
Effekt: Parsing af et skadeligt skriftarkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Flere problemer med korruption af hukommelsen er løst via forbedret godkendelse af input.
CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af en skadelig skrift kan medføre afsløring af proceshukommelse
Beskrivelse: Der var et out-of-bounds-læseproblem, som er løst ved forbedret inputvalidering.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Fås til: Alle Apple Watch-modeller
Effekt: En skadelig HTTP/2-server kan være årsag til udefineret adfærd
Beskrivelse: Der var flere problemer i nghttp2-versioner før 1.17.0. Disse blev løst ved at opdatere nghttp2 til version 1.17.0.
CVE-2017-2428
ImageIO
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent
ImageIO
Fås til: Alle Apple Watch-modeller
Effekt: Visning af et skadeligt JPEG-arkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2432: En anonym programmør, som arbejder med Trend Micros Zero Day Initiative
ImageIO
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt arkiv kan medføre pludselig programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2467
ImageIO
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt billede kan medføre pludselig programlukning
Beskrivelse: Der var et out-of-bounds-læseproblem i LibTIFF-versioner før 4.0.7. Problemet er løst ved opdatering af LibTIFF i ImageIO til version 4.0.7.
CVE-2016-3619
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med heltalsoverløb er løst ved forbedret inputvalidering.
CVE-2017-2440: En anonym programmør
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med rodrettigheder
Beskrivelse: En konkurrencetilstand er løst via forbedret hukommelseshåndtering.
CVE-2017-2456: lokihardt fra Google Project Zero
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2472: Ian Beer fra Google Project Zero
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret godkendelse af input.
CVE-2017-2473: Ian Beer fra Google Project Zero
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Et off-by-one-problem er løst via forbedret kontrol af grænser.
CVE-2017-2474: Ian Beer fra Google Project Zero
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: En race condition er løst ved forbedret låsning.
CVE-2017-2478: Ian Beer fra Google Project Zero
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med bufferoverløb, som er løst ved forbedret hukommelsesbehandling.
CVE-2017-2482: Ian Beer fra Google Project Zero
CVE-2017-2483: Ian Beer fra Google Project Zero
Kernel
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre vilkårlig kode med hævede rettigheder
Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-2490: Ian Beer fra Google Project Zero, Englands National Cyber Security Centre (NCSC)
Tastaturer
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan køre vilkårlig kode
Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Fås til: Alle Apple Watch-modeller
Effekt: En lokal hacker kan ændre arkivsystemtilladelser for vilkårlige biblioteker
Beskrivelse: Der var et godkendelsesproblem i håndteringen af symbolske links. Problemet er løst ved forbedret godkendelse af symbolske links.
CVE-2017-2390: Omer Medan fra enSilo Ltd
libc++abi
Fås til: Alle Apple Watch-modeller
Effekt: Demangling af et skadeligt C++-program kan medføre kørsel af vilkårlig kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2441
libxslt
Fås til: Alle Apple Watch-modeller
Effekt: Flere sikkerhedsrisici i libxslt
Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.
CVE-2017-5029: Holger Fuhrmannek
Sikkerhed
Fås til: Alle Apple Watch-modeller
Effekt: Et program kan muligvis køre en vilkårlig kode med rodrettigheder
Beskrivelse: Der var et problem med bufferoverløb, som blev løst ved forbedret kontrol af grænser.
CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.
Sikkerhed
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af et skadeligt x509-certifikatarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af certifikater. Problemet er løst ved forbedret godkendelse af input.
CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos
WebKit
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Et problem med forveksling af typer er løst via forbedret hukommelseshåndtering.
CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tencent.com)
WebKit
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til et højt forbrug af hukommelse
Beskrivelse: Der var et problem med ukontrolleret hukommelsesforbrug, som er løst ved forbedret behandling af regex.
CVE-2016-9643: Gustavo Grieco
WebKit
Fås til: Alle Apple Watch-modeller
Effekt: Behandling af webindhold med skadelig kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Et use-after-free-problem er løst gennem forbedret hukommelseshåndtering.
CVE-2017-2471: Ivan Fratric fra Google Project Zero
Yderligere anerkendelser
XNU
Vi vil gerne takke Lufeng Li fra Qihoo 360 Vulcan Team for sin assistance.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.