אודות תוכן האבטחה של watchOS 3
מסמך זה מתאר את תוכן האבטחה של watchOS 3.
מטעמי הגנה על לקוחותינו, Apple לא מפרסמת בעיות אבטחה, לא דנה בהן ולא מאשרת את קיומן עד שחקירה בנושא מתבצעת וגרסאות או רכיבי Patch יהיו זמינים. גרסאות עדכניות רשומות בדף עדכוני אבטחה של Apple.
למידע נוסף על אבטחה, עיינו בדף אבטחת מוצרי Apple. ניתן להצפין תקשורת עם Apple באמצעות 'מפתח PGP לאבטחת מוצר' של Apple.
מסמכי האבטחה של Apple מתייחסים לפגיעויות לפי CVE-ID, כאשר הדבר ניתן.
watchOS 3
שמע
זמין עבור: כל הדגמים של Apple Watch
השפעה: תוקף מרוחק עלול להצליח להפעיל קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4702: יונג'ין יון, מינסיק שין, הוג'אה האן, סונגהיון פארק וטאקיונג קוון מ-Information Security Lab, אוניברסיטת יונסיי
CFNetwork
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד של תוכן אינטרנט זדוני עלול להביא לחשיפת מידע של משתמשים
תיאור: הייתה בעיה של אימות קלט בניתוח הכותרת Set-Cookie. בעיה זו טופלה באמצעות בדיקת אימות משופרת.
CVE-2016-4708: דוד צ'גאן מ-Silesia Security Lab
CoreCrypto
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי
תיאור: בעיה של כתיבה מחוץ לטווח טופלה על-ידי הסרת הקוד הפגיע.
CVE-2016-4712: גרגו קוטלס
FontParser
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד של גופן בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: גלישת מאגר אירעה בעת טיפול בקבצי גופנים. בעיה זו טופלה באמצעות בדיקת טווח משופרת.
CVE-2016-4718: Apple
GeoServices
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח לקרוא מידע רגיש אודות המיקום
תיאור: ב-PlaceData הייתה בעיית הרשאות. בעיה זו טופלה באמצעות שיפור אימות ההרשאה.
CVE-2016-4719: רזוואן דקונסקו, מיחאי צ'ירויו (אוניברסיטת POLITEHNICA בבוקרשט); לוק דאוטל, וויליאם אנק (אוניברסיטת המדינה של קרוליינה הצפונית); לוקאס וינצ'נזו דאבי, אחמד-רזא סדגי (TU Darmstadt)
IOAcceleratorFamily
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד של תוכן אינטרנט בעל מבנה זדוני עלול לגרום לחשיפה של זיכרון התהליך
תיאור: בעיה של השחתת זיכרון טופלה באמצעות אימות קלט משופר.
CVE-2016-4725: רוג'ר קומבס מ-.Plex, Inc
IOAcceleratorFamily
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4726: חוקר אנונימי
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: תוקף מרוחק עלול להצליח לגרום למניעת שירות
תיאור: בעיית טיפול בנעילה טופלה באמצעות טיפול משופר בנעילה.
CVE-2016-4772: מארק הויזה מ-mh-sec
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח לקבוע את פריסת זיכרון הליבה
תיאור: מספר בעיות של קריאה מחוץ לטווח הובילו לחשיפת זיכרון ליבה. בעיות אלה טופלו באמצעות אימות קלט משופר.
CVE-2016-4773: ברנדון אזאד
CVE-2016-4774: ברנדון אזאד
CVE-2016-4776: ברנדון אזאד
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: משתמש מקומי עלול להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4775: ברנדון אזאד
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: בעיה של גישה לערך מצביע לא מהימן טופלה על-ידי הסרת הקוד המושפע.
CVE-2016-4777: לופנג לי מ-Qihoo 360 Nirvan Team
ליבה
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה עלולה להצליח להפעיל קוד שרירותי עם הרשאות ליבה
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול משופר בזיכרון.
CVE-2016-4778: CESG
libxml2
זמין עבור: כל הדגמים של Apple Watch
השפעה: מספר בעיות ב-libxml2, שהמשמעותית ביותר שבהן עלולה להוביל לסיום בלתי צפוי של אפליקציה או להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול משופר בזיכרון.
CVE-2016-4658: ניק וולנהופר
CVE-2016-5131: ניק וולנהופר
libxslt
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: בעיית השחתת זיכרון טופלה באמצעות טיפול משופר בזיכרון.
CVE-2016-4738: ניק וולנהופר
אבטחה
זמין עבור: כל הדגמים של Apple Watch
השפעה: אפליקציה זדונית עלולה להצליח להפעיל קוד שרירותי עם הרשאות מערכת
תיאור: הייתה בעיית אימות בתמונות דיסק חתומות. בעיה זו טופלה באמצעות אימות גודל משופר.
CVE-2016-4753: מארק מנטוביי מ-.Google Inc.
WebKit
זמין עבור: כל הדגמים של Apple Watch
השפעה: עיבוד תוכן אינטרנט בעל מבנה זדוני עלול להוביל להפעלת קוד שרירותי
תיאור: מספר בעיות של השחתת זיכרון טופלו באמצעות טיפול משופר בזיכרון.
CVE-2016-4737: Apple
Wi-Fi Manager
זמין עבור: כל הדגמים של Apple Watch
השפעה: הרחבות של אפליקציות עלולות לקבל גישה לאינטרנט
תיאור: מספר בעיות של אכיפת מדיניות בנוגע לשיתוף Wi-Fi. בעיות אלה טופלו באמצעות שיפור בדיקות הזכאות.
CVE-2016-7699: Proteas מ-Qihoo 360 Nirvan Team
מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.