Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple
Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κλειδί PGP της Ασφάλειας προϊόντων Apple.
Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.
watchOS 3.2.2
Κυκλοφόρησε στις 15 Μαΐου 2017
AVEVideoEncoder
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-6989: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
CVE-2017-6994: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
CVE-2017-6995: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
CVE-2017-6996: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
CVE-2017-6997: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
CVE-2017-6998: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
CVE-2017-6999: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
Η καταχώριση ενημερώθηκε στις 17 Μαΐου 2017
CoreAudio
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-2502: Yangkang (@dnpushme) από την ομάδα του Qihoo360 Qex
CoreFoundation
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η ανάλυση κακόβουλων δεδομένων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-2522: Ian Beer του Google Project Zero
Η καταχώριση προστέθηκε στις 19 Μαΐου 2017
CoreText
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου ενδέχεται να οδηγήσει σε τερματισμό της εφαρμογής
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
CVE-2017-7003: Jake Davis της SPYSCAPE (@DoubleJake)
Η καταχώριση προστέθηκε στις 31 Μαΐου 2017
Υποδομή
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η ανάλυση κακόβουλων δεδομένων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-2523: Ian Beer του Google Project Zero
Η καταχώριση προστέθηκε στις 19 Μαΐου 2017
IOSurface
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να αποκτήσει προνόμια πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2017-6979: Adam Donenfeld (@doadam) από την ομάδα του Zimperium zLabs
Η καταχώριση ενημερώθηκε στις 17 Μαΐου 2017
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Μια συνθήκη ανταγωνισμού αντιμετωπίστηκε με βελτιωμένο κλείδωμα.
CVE-2017-2501: Ian Beer του Google Project Zero
Πυρήνας
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης
Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.
CVE-2017-2507: Ian Beer του Google Project Zero
CVE-2017-6987: Patrick Wardle του Synack
SQLite
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.
CVE-2017-2513: εντοπίστηκε από OSS-Fuzz
SQLite
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
CVE-2017-2518: εντοπίστηκε από OSS-Fuzz
CVE-2017-2520: εντοπίστηκε από OSS-Fuzz
SQLite
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Ένα κακόβουλο ερώτημα SQL μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-2519: εντοπίστηκε από OSS-Fuzz
TextInput
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η ανάλυση κακόβουλων δεδομένων μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.
CVE-2017-2524: Ian Beer του Google Project Zero
WebKit
Διατίθεται για: Όλα τα μοντέλα Apple Watch
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν με βελτιωμένο χειρισμό μνήμης.
CVE-2017-2521: lokihardt του Google Project Zero
Επιπλέον αναγνώριση
Πυρήνας
Θα θέλαμε να ευχαριστήσουμε τον Orr A. από την Aleph Research, HCL Technologies για τη βοήθειά του.
Ασφάλεια
Θα θέλαμε να ευχαριστήσουμε τον Ian Beer του Google Project Zero για τη βοήθειά του.