Σχετικά με το περιεχόμενο ασφάλειας του watchOS 3.1.3

Αυτό το έγγραφο περιγράφει το περιεχόμενο ασφάλειας του watchOS 3.1.3.

Πληροφορίες σχετικά με τις Ενημερώσεις ασφάλειας Apple

Για την προστασία των πελατών της, η Apple δεν αποκαλύπτει, δεν συζητά, ούτε επιβεβαιώνει προβλήματα ασφάλειας, αν δεν διεξαχθεί ολοκληρωμένη έρευνα και αν δεν έχουν διατεθεί τυχόν ενημερώσεις κώδικα ή εκδόσεις. Οι πρόσφατες εκδόσεις αναφέρονται στη σελίδα Ενημερώσεις ασφάλειας Apple.

Για περισσότερες πληροφορίες σχετικά με την ασφάλεια, ανατρέξτε στη σελίδα Ασφάλεια προϊόντων Apple. Μπορείτε να κρυπτογραφήσετε την επικοινωνία σας με την Apple, χρησιμοποιώντας τον Κωδικό PGP της Ασφάλειας προϊόντων Apple.

Τα έγγραφα της Apple σχετικά με την ασφάλεια αναφέρουν τις ευπάθειες κατά αναγνωριστικό CVE, όπου είναι δυνατό.

watchOS 3.1.3

Λογαριασμοί

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η απεγκατάσταση εφαρμογής δεν πραγματοποίησε επαναφορά των ρυθμίσεων εξουσιοδότησης

Περιγραφή: Υπήρχε ένα πρόβλημα κατά το οποίο δεν γινόταν επαναφορά των ρυθμίσεων εξουσιοδότησης κατά την απεγκατάσταση των εφαρμογών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης εξυγίανσης.

CVE-2016-7651: Ju Zhu και Lilang Wu της Trend Micro

Διακομιστής APN

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας εισβολέας που έχει αποκτήσει προνομιακή θέση στο δίκτυο μπορεί να παρακολουθήσει τη δραστηριότητα κάποιου χρήστη

Περιγραφή: Ένα πιστοποιητικό υπολογιστή-πελάτη αποστελλόταν σε μορφή απλού κειμένου. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού πιστοποιητικών.

CVE-2017-2383: Matthias Wachs και Quirin Scheitle του Technical University Munich (TUM)

Ήχος

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7658: Haohao Kong του Keen Lab (@keen_lab) της Tencent

CVE-2016-7659: Haohao Kong του Keen Lab (@keen_lab) της Tencent

CoreFoundation

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλα δομημένων συμβολοσειρών ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής ή σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε ένα πρόβλημα αλλοίωσης μνήμης στην επεξεργασία των συμβολοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7663: ένας ανώνυμος ερευνητής

CoreGraphics

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς ενδέχεται να οδηγήσει σε απρόσμενο τερματισμό της εφαρμογής

Περιγραφή: Ένα πρόβλημα διακοπής αναφοράς δείκτη null αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης εισαγωγής.

CVE-2016-7627: TRAPMINE Inc. και Meysam Firouzi @R00tkitSMM

Αναπαραγωγή CoreMedia

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου .mp4 ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7588: dragonltx των Huawei 2012 Laboratories

CoreText

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7595: riusksk(泉哥) του Tencent Security Platform Department

Είδωλα δίσκων

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7616: daybreaker@Minionz σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχαν πολλά προβλήματα αλλοίωσης μνήμης στο χειρισμό αρχείων γραμματοσειρών. Αυτά τα προβλήματα αντιμετωπίστηκαν μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4691: riusksk(泉哥) του Tencent Security Platform Department

FontParser

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία ενός κακόβουλου αρχείου γραμματοσειράς μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε υπερχείλιση buffer στον χειρισμό αρχείων γραμματοσειρών. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-4688: Simon Huang από την εταιρεία Alipay, thelongestusernameofall@gmail.com

ICU

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7594: André Bargull

ImageIO

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας απομακρυσμένος εισβολέας ενδέχεται να μπορεί να διαρρεύσει μνήμη

Περιγραφή: Ένα πρόβλημα ανάγνωσης εκτός ορίων αντιμετωπίστηκε μέσω βελτιωμένου ελέγχου ορίων.

CVE-2016-7643: Yangkang (@dnpushme) της Qihoo360 Qex Team

IOHIDFamily

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7591: daybreaker από Minionz

IOKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7657: Keen Lab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

IOKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης ενδεχομένως να μπορεί να καθορίσει τη διαμόρφωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα κοινόχρηστης μνήμης αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7714: Qidan He (@flanker_hqd) από την KeenLab σε συνεργασία με το πρόγραμμα Zero Day Initiative της Trend Micro

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Πολλαπλά προβλήματα αλλοίωσης μνήμης αντιμετωπίστηκαν μέσω βελτιωμένης επικύρωσης εισόδου.

CVE-2016-7606: Chen Qin της Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να εκτελέσει ανάγνωση της μνήμης πυρήνα

Περιγραφή: Ένα πρόβλημα ανεπαρκούς προετοιμασίας αντιμετωπίστηκε με τη σωστή προετοιμασία της μνήμης που επιστρέφεται στο χώρο χρηστών.

CVE-2016-7607: Brandon Azad

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας συστήματος

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7615: Το National Cyber Security Centre (NCSC) του Ηνωμένου Βασιλείου

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να έχει τη δυνατότητα να προκαλέσει μη αναμενόμενο τερματισμό του συστήματος ή εκτέλεση αυθαίρετου κώδικα στον πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7621: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα αλλοίωσης μνήμης αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης δεδομένων εισαγωγής.

CVE-2016-7637: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια τοπική εφαρμογή με προνόμια συστήματος ενδέχεται να μπορεί να εκτελεί αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2016-7644: Ian Beer του Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδέχεται να μπορεί να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Ένα πρόβλημα άρνησης υπηρεσίας αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-7647: Lufeng Li από την ομάδα Qihoo 360 Vulcan

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2017-2370: Ian Beer από το Google Project Zero

Πυρήνας

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Μια εφαρμογή ενδεχομένως να μπορεί να εκτελέσει αυθαίρετο κώδικα με προνόμια πυρήνα

Περιγραφή: Ένα πρόβλημα σφάλματος τύπου "use after free" αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης μνήμης.

CVE-2017-2360: Ian Beer από το Google Project Zero

libarchive

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός εισβολέας ενδέχεται να μπορεί να αντικαταστήσει υπάρχοντα αρχεία

Περιγραφή: Υπήρχε πρόβλημα επικύρωσης στο χειρισμό symlinks. Αυτό το πρόβλημα αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης symlinks.

CVE-2016-7619: ένας ανώνυμος ερευνητής

libarchive

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η αποσυσκευασία μιας κακόβουλης αρχειοθήκης μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα υπερχείλισης buffer αντιμετωπίστηκε μέσω βελτιωμένου χειρισμού μνήμης.

CVE-2016-8687: Agostino Sarubbo από το Gentoo

Προφίλ

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Το άνοιγμα ενός κακόβουλου πιστοποιητικού ενδέχεται να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Υπήρχε πρόβλημα αλλοίωσης της μνήμης στο χειρισμό προφίλ πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη επικύρωση εισαγωγής.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Ασφάλεια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας εισβολέας ενδέχεται να μπορεί να εκμεταλλευτεί αδυναμίες του κρυπτογραφικού αλγόριθμου 3DES

Περιγραφή: Ο αλγόριθμος 3DES καταργήθηκε ως προεπιλεγμένη κρυπτογράφηση.

CVE-2016-4693: Gaëtan Leurent και Karthikeyan Bhargavan από την INRIA Paris

Ασφάλεια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας εισβολέας σε προνομιακή θέση δικτύου μπορεί να έχει τη δυνατότητα να προκαλέσει άρνηση υπηρεσίας

Περιγραφή: Υπήρχε ένα πρόβλημα επικύρωσης στο χειρισμό των διευθύνσεων URL του αποκριτή OCSP. Αυτό το πρόβλημα αντιμετωπίστηκε με την επαλήθευση της κατάστασης ανάκλησης OCSP μετά την επικύρωση CA και τον περιορισμό του αριθμού των αιτημάτων OCSP ανά πιστοποιητικό.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Ασφάλεια

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ενδέχεται να αξιολογηθούν απρόσμενα κάποια πιστοποιητικά ως αξιόπιστα

Περιγραφή: Υπήρχε ένα πρόβλημα αξιολόγησης πιστοποιητικών στην επικύρωση των πιστοποιητικών. Αυτό το πρόβλημα αντιμετωπίστηκε με επιπλέον διαδικασίες επικύρωσης πιστοποιητικών.

CVE-2016-7662: Apple

syslog

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Ένας τοπικός χρήστης ενδέχεται να μπορεί να αποκτήσει προνόμια συστήματος

Περιγραφή: Ένα πρόβλημα στις αναφορές ονομάτων θυρών mach αντιμετωπίστηκε μέσω βελτιωμένης επικύρωσης.

CVE-2016-7660: Ian Beer του Google Project Zero

Ξεκλείδωμα με iPhone

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Το Apple Watch μπορεί να ξεκλειδωθεί, όταν δεν βρίσκεται στον καρπό του χρήστη

Περιγραφή: Ένα πρόβλημα λογικής αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2017-2352: Ashley Fernandez από τη raptAware Pty Ltd

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού μπορεί να οδηγήσει σε εκτέλεση αυθαίρετου κώδικα

Περιγραφή: Ένα πρόβλημα αλλοίωσης της μνήμης αντιμετωπίστηκε μέσω βελτιωμένης διαχείρισης κατάστασης.

CVE-2016-7589: Apple

WebKit

Διατίθεται για: Όλα τα μοντέλα Apple Watch

Αποτέλεσμα: Η επεξεργασία κακόβουλου περιεχομένου ιστού ενδέχεται να αποσπάσει δεδομένα μεταξύ προελεύσεων

Περιγραφή: Υπήρχαν πολλά προβλήματα επικύρωσης κατά τον χειρισμό της φόρτωσης σελίδων. Αυτό το πρόβλημα αντιμετωπίστηκε με βελτιωμένη λογική.

CVE-2017-2363: lokihardt από το Google Project Zero