Informacije o sigurnosnom sadržaju sustava watchOS 3
U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 3.
Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.
Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.
Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.
watchOS 3
Zvuk
Dostupno za: sve modele Apple Watch uređaja
Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park i Taekyoung Kwon (Information Security Lab, sveučilište Yonsei)
CFNetwork
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja mogli su se ugroziti korisnički podaci
Opis: u raščlanjivanju zaglavlja Set-Cookie otkriven je problem s provjerom valjanosti. Problem je riješen boljom provjerom valjanosti.
CVE-2016-4708: Dawid Czagan (Silesia Security Lab)
CoreCrypto
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke aplikacije mogle su izvršiti proizvoljni kod
Opis: problem s prekoračenjem pri zapisivanju riješen je uklanjanjem koda sa slabim točkama.
CVE-2016-4712: Gergo Koteles
Parser za font
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija
Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.
CVE-2016-4718: Apple
GeoServices
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji
Opis: u aplikaciji PlaceData otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.
CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
IOAcceleratorFamily
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija
Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.
CVE-2016-4725: Rodger Combs (Plex, Inc.)
IOAcceleratorFamily
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4726: anoniman istraživač
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge
Opis: problem rukovanja blokadom riješen je poboljšanim rukovanjem blokadom.
CVE-2016-4772: Marc Heuse (mh-sec)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije
Opis: otkriveni su višestruki problemi s prekoračenjem čitanja, koji su uzrokovali otkrivanje kernelske memorije. Ti su problemi riješeni poboljšanom provjerom unosa.
CVE-2016-4773: Brandon Azad
CVE-2016-4774: Brandon Azad
CVE-2016-4776: Brandon Azad
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4775: Brandon Azad
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: dereferenca pokazivača koji se ne smatra pouzdanim riješena je uklanjanjem zahvaćenog koda.
CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)
Kernel
Dostupno za: sve modele Apple Watch uređaja
Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4778: CESG
libxml2
Dostupno za: sve modele Apple Watch uređaja
Opis: u komponenti libxml2 otkriveni su višestruki problemi, od kojih je najveći mogao uzrokovati neočekivani prekid rada aplikacije ili izvršavanje proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4658: Nick Wellnhofer
CVE-2016-5131: Nick Wellnhofer
libxslt
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.
CVE-2016-4738: Nick Wellnhofer
Sigurnost
Dostupno za: sve modele Apple Watch uređaja
Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod
Opis: na potpisanim slikama diska otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom valjanosti veličina.
CVE-2016-4753: Mark Mentovai, Google Inc.
WebKit
Dostupno za: sve modele Apple Watch uređaja
Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda
Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.
CVE-2016-4737: Apple
Wi-Fi upravitelj
Dostupno za: sve modele Apple Watch uređaja
Učinak: proširenja aplikacija mogu dobiti pristup internetu
Opis: višestruke poteškoće u provođenju pravila pri dijeljenju Wi-Fi mreže. Ovaj je problem riješen poboljšanim provjerama ovlasti.
CVE-2016-7699: Proteas (Qihoo 360, Nirvan tim)
Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.