Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 3.1
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 3.1.
Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
watchOS 3.1
AppleMobileFileIntegrity
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένα υπογεγραμμένο εκτελέσιμο αρχείο μπορεί να αντικαταστήσει κώδικα με το ίδιο αναγνωριστικό ομάδας
Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό των υπογραφών κώδικα. Αυτό το πρόβλημα αντιμετωπίστηκε με πρόσθετη επικύρωση.
CVE-2016-7584: Mark Mentovai και Boris Vidolov της Google Inc.
CoreGraphics
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2016-4673: Marco Grassi (@marcograss) του KeenLab (@keen_lab), Tencent
FontParser
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η ανάλυση μιας κακόβουλης γραμματοσειράς μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων πληροφοριών χρήστη
Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-4660: Ke Liu του Xuanwu Lab της Tencent
FontParser
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.
CVE-2016-4688: Simon Huang από την εταιρεία Alipay, thelongestusernameofall@gmail.com
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή αυθαίρετη εκτέλεση κώδικα στον πυρήνα
Περιγραφή: Υπήρχαν πολλά ζητήματα επικύρωσης εισόδου στον δημιουργημένο κώδικα MIG. Αυτά τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.
CVE-2016-4669: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να είναι σε θέση να αποκαλύψει περιεχόμενο της μνήμης πυρήνα
Περιγραφή: Ένα ζήτημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2016-4680: Max Bazaliy των Lookout και in7egral
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια τοπική εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος
Περιγραφή: Υπήρχαν πολλά ζητήματα διάρκειας ζωής αντικειμένων κατά την εκκίνηση νέων διεργασιών. Τα ζητήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης.
CVE-2016-7613: Ian Beer από το Google Project Zero
libarchive
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια κακόβουλη αρχειοθήκη ενδέχεται να μπορεί να αντικαταστήσει αυθαίρετα αρχεία
Περιγραφή: Υπήρχε πρόβλημα στη λογική επικύρωσης διαδρομών για τους συμβολικούς συνδέσμους. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης διαδρομών.
CVE-2016-4679: Omer Medan της enSilo Ltd
libxpc
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας
Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε με πρόσθετους περιορισμούς.
CVE-2016-4675: Ian Beer του Google Project Zero
Προφίλ sandbox
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων φωτογραφιών
Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Προφίλ sandbox
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να ανακτήσει μεταδεδομένα καταλόγων ήχου
Περιγραφή: Αντιμετωπίστηκε ένα ζήτημα πρόσβασης μέσω πρόσθετων περιορισμών sandbox σε εφαρμογές τρίτων.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest), Luke Deshotels, William Enck (North Carolina State University), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.