Πληροφορίες σχετικά με το περιεχόμενο ασφάλειας του watchOS 2.2
Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 2.2.
Για την προστασία των πελατών μας, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει θέματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν απαραίτητες ενημερώσεις κώδικα ή εκδόσεις. Για να μάθετε περισσότερα σχετικά με την Ασφάλεια προϊόντων Apple, επισκεφτείτε τον ιστότοπο της Ασφάλειας προϊόντων Apple.
Για πληροφορίες σχετικά με τον Κωδικό PGP της Ασφάλειας προϊόντων Apple, ανατρέξτε στο άρθρο Τρόπος χρήσης του Κωδικού PGP της Ασφάλειας προϊόντων Apple.
Όπου είναι δυνατό, γίνεται χρήση αναγνωριστικών CVE για την αναφορά σε συγκεκριμένες ευπάθειες με στόχο την περαιτέρω πληροφόρηση.
Για να ενημερωθείτε σχετικά με άλλες ενημερώσεις ασφάλειας, ανατρέξτε στο άρθρο Ενημερώσεις ασφάλειας Apple.
watchOS 2.2
Είδωλα δίσκων
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην ανάλυση ειδώλων δίσκων. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1717 : Frank Graziano από την Ομάδα Yahoo! Pentest
FontParser
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου αρχείου PDF ενδέχεται να έχει ως αποτέλεσμα τον απρόσμενο τερματισμό της εφαρμογής ή την αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1740 : HappilyCoded (ant4g0nist και r3dsm0k3) σε συνεργασία με το πρόγραμμα Zero Day Initiative (ZDI) της Trend Micro
HTTPProtocol
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδεχομένως να έχει τη δυνατότητα να προκαλέσει εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχαν πολλές ευπάθειες στις εκδόσεις nghttp2 πριν από την 1.6.0, από τις οποίες η πιο σοβαρή ενδέχεται να οδήγησε σε απομακρυσμένη εκτέλεση κώδικα. Αντιμετωπίστηκαν με την ενημέρωση του nghttp2 στην έκδοση 1.6.0.
Αναγνωριστικό CVE
CVE-2015-8659
IOHIDFamily
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1719 : Ian Beer από το Google Project Zero
IOHIDFamily
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1748 : Brandon Azad
Πυρήνας
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1720 : Ian Beer από το Google Project Zero
CVE-2016-1721 : Ian Beer από το Google Project Zero και Ju Zhu από την Trend Micro
CVE-2016-1754 : Lufeng Li από την ομάδα Vulcan της Qihoo 360
CVE-2016-1755 : Ian Beer από το Google Project Zero
Πυρήνας
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1750 : CESG
Πυρήνας
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Πολλαπλές υπερχειλίσεις ακεραίων αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισαγωγής.
Αναγνωριστικό CVE
CVE-2016-1753 : Juwei Lin Trend Micro σε συνεργασία με το πρόγραμμα Zero Day Initiative (ZDI) της Trend Micro
Πυρήνας
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή μπορεί να έχει τη δυνατότητα να παρακάμψει τη διαδικασία υπογραφής κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα δικαιωμάτων κατά το οποίο εκχωρούνταν λανθασμένα το δικαίωμα εκτέλεσης. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση δικαιωμάτων.
Αναγνωριστικό CVE
CVE-2016-1751 : Eric Monti από την Square Mobile Security
Πυρήνας
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας
Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.
Αναγνωριστικό CVE
CVE-2016-1752 : CESG
libxml2
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Η επεξεργασία κακόβουλου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-1819
CVE-2015-5312 : David Drysdale από την Google
CVE-2015-7499
CVE-2015-7500 : Kostya Serebryany από την Google
CVE-2015-7942 : Kostya Serebryany από την Google
CVE-2015-8035 : gustavo.grieco
CVE-2015-8242 : Hugh Davenport
CVE-2016-1761 : wol0xff σε συνεργασία με το πρόγραμμα Zero Day Initiative (ZDI) της Trend Micro
CVE-2016-1762
libxslt
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Η επεξεργασία κακόβουλου XML ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Ένα πρόβλημα σύγχυσης τύπων αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2015-7995 : puzzor
Μηνύματα
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Ένας εισβολέας με δυνατότητα παράκαμψης της συσχέτισης πιστοποιητικών της Apple, υποκλοπής συνδέσεων TLS, εισαγωγής μηνυμάτων και καταγραφής κρυπτογραφημένων μηνυμάτων τύπου συνημμένου ενδέχεται να μπορεί να διαβάσει τα συνημμένα
Περιγραφή: Ένα πρόβλημα κρυπτογράφησης αντιμετωπίστηκε με απόρριψη των διπλότυπων μηνυμάτων στη συσκευή-πελάτη.
Αναγνωριστικό CVE
CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers και Michael Rushanan από το Johns Hopkins University
Ασφάλεια
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου πιστοποιητικού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στον αποκωδικοποιητή ASN.1. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
Αναγνωριστικό CVE
CVE-2016-1950 : Francis Gabriel από την Quarkslab
syslog
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα
Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1722 : Joshua J. Drake και Nikias Bassen από τη Zimperium zLabs
TrueTypeScaler
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειρών μπορεί να οδηγήσει σε αυθαίρετη εκτέλεση κώδικα
Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης μνήμης στην επεξεργασία αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.
Αναγνωριστικό CVE
CVE-2016-1775 : 0x1byte σε συνεργασία με το πρόγραμμα Zero Day Initiative (ZDI) της Trend Micro
WebKit
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου Ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα
Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-1723 : Apple
CVE-2016-1724 : Apple
CVE-2016-1725 : Apple
CVE-2016-1726 : Apple
CVE-2016-1727 : Apple
Wi-Fi
Διαθέσιμο για: Apple Watch Sport, Apple Watch, Apple Watch Edition και Apple Watch Hermes
Αποτέλεσμα: Ένας εισβολέας με προνομιακή θέση δικτύου ενδέχεται να μπορεί να εκτελέσει αυθαίρετο κώδικα
Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης πλαισίων και αλλοίωσης μνήμης για ένα δεδομένο ethertype. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω πρόσθετης επικύρωσης ethertype και βελτιωμένου χειρισμού μνήμης.
Αναγνωριστικό CVE
CVE-2016-0801 : ένας ανώνυμος ερευνητής
CVE-2016-0802 : ένας ανώνυμος ερευνητής
Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.