Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 3.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 3.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 3.2

Ήχος

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ήχου μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2430: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-2462: Ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Carbon

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .dfont μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2379: riusksk (泉哥) του Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Μια ατέρμονη αναδρομή αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2417: riusksk (泉哥) του Tencent Security Platform Department

CoreGraphics

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2444: Mei Wang του 360 GearTeam

CoreText

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου μηνύματος κειμένου μπορεί να προκαλέσει άρνηση υπηρεσίας εφαρμογής

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2461: ένας ανώνυμος ερευνητής, Isaac Archambault του IDAoADI

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2487: riusksk (泉哥) του Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η ανάλυση ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-2407: riusksk (泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης γραμματοσειράς μπορεί να επιτρέψει την αποκάλυψη της μνήμης διεργασιών

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας κακόβουλος διακομιστής HTTP/2 ενδέχεται να προκαλέσει ακαθόριστη συμπεριφορά

Περιγραφή: Υπήρχαν πολλά προβλήματα στο nghttp2 πριν την έκδοση 1.17.0. Αυτά αντιμετωπίστηκαν με την ενημέρωση του nghttp2 στην έκδοση 1.17.0.

CVE-2017-2428

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) του KeenLab, Tencent

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η προβολή ενός κακόβουλου αρχείου JPEG μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2432: ένας ανώνυμος ερευνητής σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2467

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Υπήρχε μια ανάγνωση εκτός ορίων στις εκδόσεις του LibTIFF πριν από την έκδοση 4.0.7. Αυτό αντιμετωπίστηκε με την ενημέρωση του LibTIFF στο ImageIO στην έκδοση 4.0.7.

CVE-2016-3619

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2401: Lufeng Li της ομάδας Qihoo 360 Vulcan Team

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια υπερχείλιση ακεραίων αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-2440: ένας ανώνυμος ερευνητής

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2456: lokihardt του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2472: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια κακόβουλη εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-2473: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα απόκλισης κατά ενός αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2017-2474: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2017-2478: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2482: Ian Beer του Google Project Zero

CVE-2017-2483: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με αυξημένα προνόμια

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2490: Ian Beer του Google Project Zero, Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Πληκτρολόγια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή μπορεί να αποκτήσει δυνατότητα εκτέλεσης αυθαίρετου κώδικα

Περιγραφή: Ένα θέμα υπερχείλισης buffer αντιμετωπίστηκε μέσω της βελτίωσης του ελέγχου ορίων.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αλλάξει τα δικαιώματα συστήματος αρχείων σε αυθαίρετους καταλόγους

Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης symlinks.

CVE-2017-2390: Omer Medan της enSilo Ltd

libc++abi

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η μετατροπή μιας κακόβουλης εφαρμογής C++ ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2441

libxslt

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Πολλές ευπάθειες στο libxslt

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-5029: Holger Fuhrmannek

Ασφάλεια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια ρίζας

Περιγραφή: Ένα θέμα υπερχείλισης buffer αντιμετωπίστηκε μέσω της βελτίωσης του ελέγχου ορίων.

CVE-2017-2451: Alex Radocea της Longterm Security, Inc.

Ασφάλεια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού x509 μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην ανάλυση πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2017-2485: Aleksandar Nikolic του Cisco Talos

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σύγχυσης τύπου αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2415: Kai Kang του Tencent Xuanwu Lab (tentcent.com)

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να έχει ως αποτέλεσμα την υψηλή κατανάλωση μνήμης

Περιγραφή: Ένα μη ελεγχόμενο ζήτημα κατανάλωσης πόρων αντιμετωπίστηκε μέσω βελτιωμένης επεξεργασίας regex.

CVE-2016-9643: Gustavo Grieco

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2471: Ivan Fratric του Google Project Zero

Επιπλέον αναγνώριση

XNU

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Lufeng Li της ομάδας Qihoo 360 Vulcan.