Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 4

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 4.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 4

Κυκλοφόρησε στις 19 Σεπτεμβρίου 2017

802.1X

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του TLS 1.0

Περιγραφή: Ένα πρόβλημα ασφάλειας πρωτοκόλλου αντιμετωπίστηκε ενεργοποιώντας το TLS 1.1 και το TLS 1.2.

CVE-2017-13832: Doug Wussler του Florida State University

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

CFNetwork

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13829: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

CVE-2017-13833: Niklas Baumstark και Samuel Gro σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017

Διακομιστές μεσολάβησης CFNetwork

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Πολλαπλά προβλήματα άρνησης υπηρεσίας αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-7083: Abhinav Bansal της Zscaler Inc.

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

CFString

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13821: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

CoreAudio

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Μια ανάγνωση εκτός ορίων αντιμετωπίστηκε με ενημέρωση του Opus στην έκδοση 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) της ερευνητικής ομάδας Mobile Threat Research Team, Trend Micro

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

CoreText

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-13825: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

αρχείο

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Πολλαπλά προβλήματα στο αρχείο

Περιγραφή: Τα πολλαπλά προβλήματα επιλύθηκαν με την ενημέρωση στην έκδοση 5.31.

CVE-2017-13815

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Γραμματοσειρές

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η απόδοση μη αξιόπιστου κειμένου ενδέχεται να οδηγήσει σε πλαστογράφηση

Περιγραφή: Ένα πρόβλημα μη συνεπούς περιβάλλοντος εργασίας χρήστη αντιμετωπίστηκε με βελτιωμένη διαχείριση κατάστασης.

CVE-2017-13828: Leonard Grey και Robert Sesek της Google Chrome

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

HFS

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13830: Sergej Schumilo του πανεπιστημίου Ruhr-University Bochum

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2017-13814: Κέντρο της Αυστραλίας για την Ασφάλεια στον Κυβερνοχώρο (Australian Cyber Security Centre) – Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία μιας κακόβουλης εικόνας μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα αποκάλυψης πληροφοριών στην επεξεργασία των ειδώλων δίσκου. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-13831: Glen Carmichael

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017 και ενημερώθηκε στις 10 Νοεμβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορέσει να διαβάσει τα περιεχόμενα της μνήμης πυρήνα

Περιγραφή: Υπήρχε ένα πρόβλημα ανάγνωσης εκτός ορίων το οποίο οδήγησε στην αποκάλυψη περιεχομένου μνήμης πυρήνα. Αυτό αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2017-13817: Maxime Villard της (m00nbsd)

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-13818: Το Εθνικό Κέντρο Ασφάλειας στον Κυβερνοχώρο του Ηνωμένου Βασιλείου (National Cyber Security Centre, NCSC)

CVE-2017-13836: ανώνυμος ερευνητής, ανώνυμος ερευνητής

CVE-2017-13841: ανώνυμος ερευνητής

CVE-2017-13840: ανώνυμος ερευνητής

CVE-2017-13842: ανώνυμος ερευνητής

CVE-2017-13782: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13843: ανώνυμος ερευνητής, ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7114: Alex Plaskett της MWR InfoSecurity

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-13854: shrek_wzw από την ομάδα Qihoo 360 Nirvan

Η καταχώριση προστέθηκε στις 2 Νοεμβρίου 2017

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός μη κατάλληλα διαμορφωμένου δυαδικού αρχείου mach μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2017-13834: Maxime Villard (m00nbsd)

Η καταχώριση προστέθηκε στις 10 Νοεμβρίου 2017

libarchive

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-13813: εντοπίστηκε από OSS-Fuzz

CVE-2017-13816: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

libarchive

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η αποσυμπίεση μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο libarchive. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2017-13812: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 31 Οκτωβρίου 2017

libc

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα εξάντλησης πόρων στο glob() αντιμετωπίστηκε μέσω βελτιωμένου αλγορίθμου.

CVE-2017-7086: Russ Cox της Google

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

libc

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα κατανάλωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-1000373

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

libexpat

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Πολλά προβλήματα στο expat

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 2.2.1

CVE-2016-9063

CVE-2017-9233

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

Ασφάλεια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένα πιστοποιητικό που έχει ανακληθεί ενδέχεται να εμφανίζεται ως αξιόπιστο

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης πιστοποιητικών στον χειρισμό των δεδομένων ανάκλησης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση.

CVE-2017-7080: ένας ανώνυμος ερευνητής, Sven Driemecker της adesso mobile solutions gmbh, ένας ανώνυμος ερευνητής, Rune Darrud (@theflyingcorpse) της Bærum kommune

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

SQLite

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Πολλά προβλήματα στο SQLite

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 3.19.3.

CVE-2017-10989: εντοπίστηκε από OSS-Fuzz

CVE-2017-7128: εντοπίστηκε από OSS-Fuzz

CVE-2017-7129: εντοπίστηκε από OSS-Fuzz

CVE-2017-7130: εντοπίστηκε από OSS-Fuzz

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

SQLite

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7127: ανώνυμος ερευνητής

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

Wi-Fi

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας κακόβουλος κώδικας που εκτελείται στο τσιπ του Wi-Fi ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα στον επεξεργαστή εφαρμογών

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε με βελτιωμένο χειρισμό μνήμης.

CVE-2017-7103: Gal Beniamini του Google Project Zero

CVE-2017-7105: Gal Beniamini του Google Project Zero

CVE-2017-7108: Gal Beniamini του Google Project Zero

CVE-2017-7110: Gal Beniamini του Google Project Zero

CVE-2017-7112: Gal Beniamini του Google Project Zero

Wi-Fi

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας κακόβουλος κώδικας που εκτελείται στο τσιπ του Wi-Fi ενδέχεται να μπορεί να εκτελέσει ανάγνωση περιορισμένης μνήμης

Περιγραφή: Ένα πρόβλημα επικύρωσης αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης εισαγωγής.

CVE-2017-7116: Gal Beniamini του Google Project Zero

zlib

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Πολλά προβλήματα στο zlib

Περιγραφή: Τα πολλά προβλήματα αντιμετωπίστηκαν με ενημέρωση στην έκδοση 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Η καταχώριση προστέθηκε στις 25 Σεπτεμβρίου 2017

Επιπλέον αναγνώριση

Ασφάλεια

Θα θέλαμε να αναγνωρίσουμε τη βοήθεια που μας παρείχε ο Abhinav Bansal της Zscaler, Inc.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Published Date: