Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 2.2.1
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 2.2.1.
H Apple, για λόγους προστασίας των πελατών της, δεν αποκαλύπτει, δεν συζητά ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες, με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
watchOS 2.2.1
CommonCrypto
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια κακόβουλη εφαρμογή μπορούσε να διαρρεύσει ευαίσθητες πληροφορίες του χρήστη
Περιγραφή: Υπήρχε ένα θέμα με το χειρισμό τιμών επιστροφής στο CCCrypt. Αυτό το ζήτημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μεγέθους κλειδιού.
Αναγνωριστικό CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
Αναγνωριστικό CVE
CVE-2016-1803: Ο Ian Beer του Google Project Zero σε έκτακτη συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Είδωλα δίσκων
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
Αναγνωριστικό CVE
CVE-2016-1807: Ian Beer από το Google Project Zero
Είδωλα δίσκων
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην ανάλυση ειδώλων δίσκων. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1808: Moony Li (@Flyic) και Jack Tang (@jacktang310) της Trend Micro
ImageIO
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Η επεξεργασία μιας εικόνας με κακόβουλη δομή μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
Αναγνωριστικό CVE
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1817: Moony Li (@Flyic) και Jack Tang (@jacktang310) της Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
CVE-2016-1818: Juwei Lin της TrendMicro, sweetchip@GRAYHASH σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro
Η καταχώρηση ενημερώθηκε στις 13 Δεκεμβρίου 2016
IOAcceleratorFamily
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια ευπάθεια αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου κλειδώματος.
Αναγνωριστικό CVE
CVE-2016-1819: Ian Beer από το Google Project Zero
IOAcceleratorFamily
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
Αναγνωριστικό CVE
CVE-2016-1813: Ian Beer από το Google Project Zero
IOHIDFamily
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1823: Ian Beer από το Google Project Zero
CVE-2016-1824: Marco Grassi (@marcograss) των KeenLab (@keen_lab), Tencent
Πυρήνας
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
libc
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να προκαλέσει απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.
Αναγνωριστικό CVE
CVE-2016-1832: Karl Williamson
libxml2
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Η επεξεργασία κακόβουλου αρχείου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei και Liu Yang του Nanyang Technological University
CVE-2016-1837: Wei Lei και Liu Yang από το Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1841: Sebastian Apelt
MapKit
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Ένας εισβολέας σε μια προνομιακή θέση δικτύου μπορεί να καταφέρει να διαρρεύσει ευαίσθητες πληροφορίες χρηστών
Περιγραφή: Η αποστολή των κοινοποιημένων συνδέσμων αποστέλλονταν με HTTP, αντί για HTTPS. Το θέμα αντιμετωπίστηκε με την ενεργοποίηση του HTTPS για κοινοποίηση συνδέσμων.
Αναγνωριστικό CVE
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermès
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1847: Tongbo Luo και Bo Qu από Palo Alto Networks
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.