Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 3.1

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 3.1.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 3.1

Κυκλοφόρησε στις 24 Οκτωβρίου 2016

AppleMobileFileIntegrity

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένα υπογεγραμμένο εκτελέσιμο αρχείο μπορεί να αντικαταστήσει κώδικα με το ίδιο αναγνωριστικό ομάδας

Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό των υπογραφών κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη επικύρωση.

CVE-2016-7584: Mark Mentovai και Boris Vidolov της Google Inc.

Η καταχώρηση προστέθηκε στις 6 Δεκεμβρίου 2016

CoreGraphics

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-4673: Marco Grassi (@marcograss) του KeenLab (@keen_lab), Tencent

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η ανάλυση μιας κακόβουλης γραμματοσειράς μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών χρήστη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4660: Ke Liu του Xuanwu Lab της Tencent

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα 

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4688: Simon Huang από την εταιρεία Alipay, thelongestusernameofall@gmail.com

Η καταχώρηση προστέθηκε στις 27 Νοεμβρίου 2016

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα

Περιγραφή: Υπήρχαν πολλά ζητήματα επικύρωσης εισόδου στον δημιουργημένο κώδικα MIG. Αυτά τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.

CVE-2016-4669: Ian Beer του Google Project Zero

Η καταχώρηση ενημερώθηκε στις 2 Νοεμβρίου 2016

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να είναι σε θέση να αποκαλύψει περιεχόμενο της μνήμης πυρήνα

Περιγραφή: Ένα ζήτημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2016-4680: Max Bazaliy των Lookout και in7egral

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια τοπική εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Υπήρχαν πολλά ζητήματα διάρκειας ζωής αντικειμένων κατά την εκκίνηση νέων διεργασιών. Τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.

CVE-2016-7613: Ian Beer από το Google Project Zero

Η καταχώρηση προστέθηκε την 1η Νοεμβρίου 2016

libarchive

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια κακόβουλη αρχειοθήκη ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία

Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης διαδρομών.

CVE-2016-4679: Omer Medan της enSilo Ltd

libxpc

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με πρόσθετους περιορισμούς.

CVE-2016-4675: Ian Beer του Google Project Zero

Προφίλ sandbox

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων φωτογραφιών

Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Προφίλ sandbox

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων ήχου

Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: