אודות תוכן האבטחה של watchOS 3

מסמך זה מתאר את תוכן האבטחה של watchOS 3.

מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.

למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.

מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.

watchOS 3

שהופץ ב-13 בספטמבר 2016

שמע

זמין עבור: כל הדגמים של Apple Watch

השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4702: יונג'ין יון, מינסיק שין, הוג'אה האן, סונגהיון פארק וטאקיונג קוון מ-Information Security Lab,‏ אוניברסיטת יונסיי

הערך נוסף ב-20 בספטמבר 2016

CFNetwork

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד של תוכן אינטרנט זדוני עלול להביא לחשיפת מידע של משתמשים

תיאור: הייתה בעיה של אימות קלט בניתוח הכותרת Set-Cookie. בעיה זו טופלה באמצעות בדיקת אימות משופרת.

CVE-2016-4708: דוד צ'גאן מ-Silesia Security Lab

הערך נוסף ב-20 בספטמבר 2016

CoreCrypto

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי

תיאור: בעיה של כתיבה מחוץ לטווח טופלה על-ידי הסרת הקוד הפגיע.

CVE-2016-4712: גרגו קוטלס

הערך נוסף ב-20 בספטמבר 2016

FontParser

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: גלישת מאגר אירעה בעת טיפול בקבצי גופנים. בעיה זו טופלה באמצעות בדיקת טווח משופרת.

CVE-2016-4718:‏ Apple

הערך נוסף ב-20 בספטמבר 2016

GeoServices

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה עלולה להצליח לקרוא מידע רגיש אודות המיקום

תיאור: ב-PlaceData הייתה בעיית הרשאות. בעיה זו טופלה באמצעות שיפור אימות ההרשאה.

CVE-2016-4719: רזוואן דקונסקו, מיחאי צ'ירויו (אוניברסיטת POLITEHNICA בבוקרשט); לוק דאוטל, וויליאם אנק (אוניברסיטת המדינה של קרוליינה הצפונית); לוקאס וינצ'נזו דאבי, אחמד-רזא סדגי (TU Darmstadt)

IOAcceleratorFamily

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך

תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.

CVE-2016-4725: רוג'ר קומבס מ-.Plex, Inc

הערך נוסף ב-20 בספטמבר 2016

IOAcceleratorFamily

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4726: חוקר אנונימי

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות

תיאור: בעיית טיפול בנעילה טופלה באמצעות טיפול משופר בנעילה.

CVE-2016-4772: מארק הויזה מ-mh-sec

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה עלולה להצליח לקבוע את פריסת זיכרון הליבה

תיאור: מספר בעיות של קריאה מחוץ לטווח הובילו לחשיפת זיכרון ליבה. בעיות אלה טופלו באמצעות אימות קלט משופר.

CVE-2016-4773: ברנדון אזאד

CVE-2016-4774: ברנדון אזאד

CVE-2016-4776: ברנדון אזאד

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: משתמש מקומי עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4775: ברנדון אזאד

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: בעיה של גישה לערך מצביע לא מהימן טופלה על-ידי הסרת הקוד המושפע.

CVE-2016-4777: ‏לופנג לי מ-Qihoo 360 Nirvan Team

הערך נוסף ב-20 בספטמבר 2016

ליבה

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול משופר בזיכרון.

CVE-2016-4778:‏ CESG

הערך נוסף ב-20 בספטמבר 2016

libxml2

זמין עבור: כל הדגמים של Apple Watch

השפעה: מספר בעיות ב-libxml2, שהמשמעותית ביותר שבהן עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול משופר בזיכרון.

CVE-2016-4658: ניק וולנהופר

CVE-2016-5131: ניק וולנהופר

הערך נוסף ב-20 בספטמבר 2016

libxslt

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.

CVE-2016-4738: ניק וולנהופר

הערך נוסף ב-20 בספטמבר 2016

אבטחה

זמין עבור: כל הדגמים של Apple Watch

השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת

תיאור: הייתה בעיית אימות בתמונות דיסק חתומות. בעיה זו טופלה באמצעות אימות גודל משופר.

CVE-2016-4753: מארק מנטוביי מ-.Google Inc.

הערך נוסף ב-20 בספטמבר 2016

WebKit

זמין עבור: כל הדגמים של Apple Watch

השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי

תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול משופר בזיכרון.

CVE-2016-4737:‏ Apple

הערך נוסף ב-20 בספטמבר 2016

Wi-Fi Manager

זמין עבור: כל הדגמים של Apple Watch

השפעה: הרחבות של אפליקציות עלולות לקבל גישה לאינטרנט

תיאור: מספר בעיות של אכיפת מדיניות בנוגע לשיתוף Wi-Fi. בעיות אלה טופלו באמצעות שיפור בדיקות הזכאות.

CVE-2016-7699: ‏Proteas מ-Qihoo 360 Nirvan Team

הערך נוסף ב-17 במאי 2017

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: