Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 3.2.2

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 3.2.2.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κλειδί PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 3.2.2

Κυκλοφόρησε στις 15 Μαΐου 2017

AVEVideoEncoder

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια πυρήνα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2017-6989: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

CVE-2017-6994: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

CVE-2017-6995: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

CVE-2017-6996: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

CVE-2017-6997: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

CVE-2017-6998: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

CVE-2017-6999: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

Η καταχώριση ενημερώθηκε στις 17 Μαΐου 2017

CoreAudio

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-2502: Yangkang (@dnpushme) από την ομάδα του Qihoo360 Qex

CoreFoundation

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η ανάλυση κακόβουλων δεδομένων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-2522: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 19 Μαΐου 2017

CoreText

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2017-7003: Jake Davis της SPYSCAPE (@DoubleJake)

Η καταχώριση προστέθηκε στις 31 Μαΐου 2017

Υποδομή

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η ανάλυση κακόβουλων δεδομένων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-2523: Ian Beer του Google Project Zero

Η καταχώριση προστέθηκε στις 19 Μαΐου 2017

IOSurface

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2017-6979: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs

Η καταχώριση ενημερώθηκε στις 17 Μαΐου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.

CVE-2017-2501: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-2507: Ian Beer του Google Project Zero

CVE-2017-6987: Patrick Wardle του Synack

SQLite

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2513: εντοπίστηκε από OSS-Fuzz

SQLite

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2518: εντοπίστηκε από OSS-Fuzz

CVE-2017-2520: εντοπίστηκε από OSS-Fuzz

SQLite

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-2519: εντοπίστηκε από OSS-Fuzz

TextInput

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η ανάλυση κακόβουλων δεδομένων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-2524: Ian Beer του Google Project Zero

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.

CVE-2017-2521: lokihardt του Google Project Zero

Επιπλέον αναγνώριση

Πυρήνας

Θα θέλαμε να ευχαριστήσουμε τον Orr A. από την Aleph Research, HCL Technologies για τη βοήθειά του.

Ασφάλεια

Θα θέλαμε να ευχαριστήσουμε τον Ian Beer του Google Project Zero για τη βοήθειά του.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: Ιουνίου 20, 2017