Tietoja watchOS 3.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 3.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

watchOS 3.2

Julkaistu 27.3.2017

Ääni

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen äänitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2430: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

CVE-2017-2462: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

Carbon

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen .dfont-tiedoston käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Fonttitiedostojen käsittelyssä oli puskurin ylivuoto. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

CVE-2017-2379: riusksk (泉哥) (Tencent Security Platform Department), John Villamil, Doyensec

CoreGraphics

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen kuvan käsittely saattoi johtaa palvelunestoon.

Kuvaus: Loputon rekursio ratkaistiin parantamalla tilanhallintaa.

CVE-2017-2417: riusksk(泉哥) (Tencent Security Platform Department)

CoreGraphics

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2444: Mei Wang (360 GearTeam)

CoreText

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen tekstiviestin käsittely saattoi johtaa ohjelman palvelunestoon.

Kuvaus: Resurssien loppumisongelma korjattiin parantamalla annettujen tietojen tarkistusta.

CVE-2017-2461: nimetön tutkija, Isaac Archambault (IDAoADI)

FontParser

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2487: riusksk(泉哥) (Tencent Security Platform Department)

CVE-2017-2406: riusksk(泉哥) (Tencent Security Platform Department)

FontParser

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen fonttitiedoston jäsentäminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2407: riusksk(泉哥) (Tencent Security Platform Department)

FontParser

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa prosessimuistin paljastumisen.

Kuvaus: Rajojen ulkopuolinen lukuongelma ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallinen HTTP/2-palvelin saattoi aiheuttaa määrittämätöntä toimintaa.

Kuvaus: nghttp2:ssa oli useita ongelmia ennen versiota 1.17.0. Ne on ratkaistu päivittämällä nghttp2 versioon 1.17.0.

CVE-2017-2428

Kohta päivitetty 28.3.2017

ImageIO

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) (KeenLab, Tencent)

ImageIO

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen JPEG-tiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2432: Trend Micron Zero Day Initiativen parissa työskentelevä nimetön tutkija

ImageIO

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen tiedoston käsitteleminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2467

ImageIO

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen kuvan käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

Kuvaus: Versiota 4.0.7 aiemmissa LibTIFF-versioissa oli rajojen ulkopuolinen lukuongelma. Tämä ratkaistiin päivittämällä ImageIO:n LibTIFF versioon 4.0.7.

CVE-2016-3619

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2401: Lufeng Li (Qihoo 360 Vulcan Team)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kokonaisluvun ylivuoto ratkaistiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2440: nimetön tutkija

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Kilpailutilanne ratkaistiin parantamalla muistin käsittelyä.

CVE-2017-2456: lokihardt (Google Project Zero)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2472: Ian Beer (Google Project Zero)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma korjattiin parantamalla annettujen tietojen vahvistamista.

CVE-2017-2473: Ian Beer (Google Project Zero)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Off-by-one-ongelma on ratkaistu parantamalla rajojen tarkistusta.

CVE-2017-2474: Ian Beer (Google Project Zero)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Kilpailutilanne on ratkaistu parantamalla lukitusta.

CVE-2017-2478: Ian Beer (Google Project Zero)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Puskurin ylivuotoon liittyvä ongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2482: Ian Beer (Google Project Zero)

CVE-2017-2483: Ian Beer (Google Project Zero)

Kernel

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia laajennetuilla käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2490: Ian Beer (Google Project Zero), Ison-Britannian National Cyber Security Centre (NCSC)

Kohta lisätty 31.3.2017

Näppäimistöt

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Paikallinen hyökkääjä saattoi pystyä vaihtamaan tiedostojärjestelmän käyttöoikeuksia mielivaltaisissa hakemistoissa.

Kuvaus: Symbolisten linkkien käsittelyssä oli tarkistamisongelma. Ongelma on ratkaistu parantamalla symbolisten linkkien tarkistamista.

CVE-2017-2390: Omer Medan (enSilo Ltd)

libc++abi

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen C++-ohjelman takaisinsovitus saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2441

libxslt

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-5029: Holger Fuhrmannek

Kohta lisätty 28.3.2017

Suojaus

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia pääkäyttöoikeuksilla.

Kuvaus: Puskurin ylivuoto korjattiin parantamalla rajojen tarkistusta.

CVE-2017-2451: Alex Radocea (Longterm Security, Inc.)

Suojaus

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen x509-varmenteen käsittely saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Varmenteiden jäsentämisessä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2017-2485: Aleksandar Nikolic (Cisco Talos)

WebKit

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2017-2415: Kai Kang (Tencentin Xuanwu Lab) (tencent.com)

WebKit

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa muistin suureen käyttöön.

Kuvaus: Resurssien hallitsemattoman kulutuksen ongelma ratkaistiin parantamalla säännöllisten lausekkeiden käsittelyä.

CVE-2016-9643: Gustavo Grieco

WebKit

Saatavuus: Kaikki Apple Watch -mallit.

Vaikutus: Haitallisen verkkosisällön käsitteleminen saattoi johtaa mielivaltaisen koodin suorittamiseen.

Kuvaus: Vapaan tilan jälkeisen käytön ongelma on ratkaistu parantamalla muistin hallintaa.

CVE-2017-2471: Ivan Fratric (Google Project Zero)

Kiitokset

XNU

Haluamme kiittää Lufeng Litä (Qihoo 360 Vulcan Team) hänen avustaan.

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: