Tietoja watchOS 4:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 4:n turvallisuussisällöstä.
Tietoja Applen suojauspäivityksistä
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.
Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.
Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
watchOS 4
802.1X
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Hyökkääjä saattoi hyödyntää TLS 1.0:n heikkouksia.
Kuvaus: Protokollan suojausongelma korjattiin sallimalla TLS 1.1 ja TLS 1.2.
CVE-2017-13832: Doug Wussler (Florida State University)
CFNetwork
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13829: Trend Micron Zero Day Initiativen parissa työskentelevät Samuel Gro ja Niklas Baumstark
CVE-2017-13833: Trend Micron Zero Day Initiativen parissa työskentelevät Samuel Gro ja Niklas Baumstark
CFNetwork-välipalvelimet
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Useita palvelunesto-ongelmia on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
CFString
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13821: Australian Cyber Security Centre (Australian Signals Directorate)
CoreAudio
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä lukemaan rajattua muistia.
Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin päivittämällä Opus versioon 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)
CoreText
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13825: Australian Cyber Security Centre (Australian Signals Directorate)
file
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: filessa esiintyi useita ongelmia.
Kuvaus: Ongelmat ratkaistiin päivittämällä versioon 5.31.
CVE-2017-13815: ongelman havaitsi OSS-Fuzz
Fontit
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ei-luotetun tekstin hahmontaminen saattoi johtaa väärentämiseen.
Kuvaus: Epäyhdenmukaisen käyttöliittymän ongelma on korjattu parantamalla tilanhallintaa.
CVE-2017-13828: Leonard Grey ja Robert Sesek (Google Chrome)
HFS
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13830: Sergej Schumilo (Ruhr-Universität Bochum)
ImageIO
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-13814: Australian Cyber Security Centre (Australian Signals Directorate)
ImageIO
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-13831: Glen Carmichael
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Rajojen ulkopuolisen lukemisen ongelma saattoi johtaa kernel-muistin paljastumiseen. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-2017-13817: Maxime Villard (m00nbsd)
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä lukemaan rajoitettua muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-13818: Ison-Britannian National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: nimetön tutkija
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13843: nimetön tutkija, nimetön tutkija
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Vääränmuotoisen mach-binäärin käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla vahvistamista.
CVE-2017-13834: Maxime Villard (m00nbsd)
Kernel
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haittaohjelma saattoi saada tietoja laitteen muiden ohjelmien olemassaolosta ja toiminnasta.
Kuvaus: Ohjelma pystyi käyttämään rajoituksetta käyttöjärjestelmän ylläpitämiä verkon aktiivisuustietoja. Ongelma on ratkaistu rajoittamalla muun valmistajan ohjelmien tietojen käyttöä.
CVE-2017-13873: Xiaokuan Zhang ja Yinqian Zhang (Ohio State University), Xueqiang Wang ja XiaoFeng Wang (Indiana University Bloomington) sekä Xiaolong Bai (Tsinghua University)
libarchive
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-13813: ongelman havaitsi OSS-Fuzz
CVE-2017-13816: ongelman havaitsi OSS-Fuzz
libarchive
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: libarchivessa oli useita muistin vioittumiseen liittyviä ongelmia. Ongelmat on ratkaistu parantamalla annettujen tietojen tarkistamista.
CVE-2017-13812: ongelman havaitsi OSS-Fuzz
libc
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.
Kuvaus: Resurssien riittävyyteen liittyvä ongelma glob():ssa on ratkaistu parannetulla algoritmilla.
CVE-2017-7086: Russ Cox (Google)
libc
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi aiheuttaa palveluneston.
Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-1000373
libexpat
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: expatissa esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Use-after-free-ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-2017-9049: Wei Lei ja Liu Yang (Nanyang Technological University, Singapore)
libxml2
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7376: nimetön tutkija
CVE-2017-5130: nimetön tutkija
libxml2
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.
CVE-2017-9050: Mateusz Jurczyk (j00ru) (Google Project Zero)
libxml2
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Haitallisen XML:n käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.
CVE-2018-4302: Gustavo Grieco
Suojaus
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Mitätöity varmenne saattoi olla luotettu.
Kuvaus: Mitätöintitietojen käsittelyssä oli varmenteen validointiongelma. Ongelma on ratkaistu parantamalla validointia.
CVE-2017-7080: Nimetön tutkija, Sven Driemecker (adesso mobile solutions gmbh), nimetön tutkija, Rune Darrud (@theflyingcorpse) (Bærum kommune)
SQLite
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: SQLitessa esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 3.19.3.
CVE-2017-10989: ongelman havaitsi OSS-Fuzz
CVE-2017-7128: ongelman havaitsi OSS-Fuzz
CVE-2017-7129: ongelman havaitsi OSS-Fuzz
CVE-2017-7130: ongelman havaitsi OSS-Fuzz
SQLite
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7127: nimetön tutkija
Wi-Fi
Saatavuus: Kaikki Apple Watch -mallit.
Vaikutus: Wi-Fi-sirussa suoritettu haitallinen koodi saattoi pystyä suorittamaan mielivaltaista, kernel-käyttöoikeuksilla varustettua koodia sovellusprosessorissa.
Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Saatavuus: Kaikki Apple Watch -mallit.
Vaikutus: Wi-Fi-sirussa suoritettu haitallinen koodi saattoi pystyä lukemaan rajoitettua kernel-muistia.
Kuvaus: Varmistusongelma ratkaistiin parantamalla annettujen tietojen puhdistamista.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
zlib
Saatavuus: Kaikki Apple Watch -mallit
Vaikutus: zlibissä esiintyi useita ongelmia.
Kuvaus: Useita ongelmia ratkaistiin päivittämällä versioon 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Kiitokset
Suojaus
Haluamme kiittää Abhinav Bansalia (Zscaler, Inc.) hänen avustaan.
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.