Informacije o sigurnosnom sadržaju sustava watchOS 3

U ovom se dokumentu opisuje sigurnosni sadržaj sustava watchOS 3.

Da bi zaštitio korisnike, Apple ne otkriva ni ne potvrđuje sigurnosne probleme niti o njima raspravlja dok ih ne istraži i ne ponudi zakrpe ili nova izdanja. Nedavna izdanja navedena su na stranici Appleova sigurnosna ažuriranja.

Dodatne informacije o sigurnosti potražite na stranici Sigurnost Appleovih proizvoda. Komunikaciju s Appleom možete kriptirati pomoću PGP ključa za sigurnost Appleovih proizvoda.

Kad god je moguće, Appleovi dokumenti o sigurnosti slabe točke navode prema oznaci CVE-ID.

watchOS 3

Izdano 13. rujna 2016.

Zvuk

Dostupno za: sve modele Apple Watch uređaja

Učinak: udaljeni napadač mogao je pokrenuti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park i Taekyoung Kwon (Information Security Lab, sveučilište Yonsei)

Unos je dodan 20. rujna 2016.

CFNetwork

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja mogli su se ugroziti korisnički podaci

Opis: u raščlanjivanju zaglavlja Set-Cookie otkriven je problem s provjerom valjanosti. Problem je riješen boljom provjerom valjanosti.

CVE-2016-4708: Dawid Czagan (Silesia Security Lab)

Unos je dodan 20. rujna 2016.

CoreCrypto

Dostupno za: sve modele Apple Watch uređaja

Učinak: neke aplikacije mogle su izvršiti proizvoljni kod

Opis: problem s prekoračenjem pri zapisivanju riješen je uklanjanjem koda sa slabim točkama.

CVE-2016-4712: Gergo Koteles

Unos je dodan 20. rujna 2016.

Parser za font

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog fonta može se otkriti procesna memorija

Opis: u obradi datoteka fontova dolazilo je do prekoračenja međuspremnika. Problem je riješen poboljšanom provjerom ograničenja.

CVE-2016-4718: Apple

Unos je dodan 20. rujna 2016.

GeoServices

Dostupno za: sve modele Apple Watch uređaja

Učinak: neke aplikacije mogle su čitati osjetljive podatke o lokaciji

Opis: u aplikaciji PlaceData otkriven je problem s dozvolama. Taj je problem riješen poboljšanom provjerom valjanosti dozvola.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Politehničko sveučilište iz Bukurešta), Luke Deshotels, William Enck (Državno sveučilište u Sjevernoj Karolini), Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IOAcceleratorFamily

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja može se otkriti procesna memorija

Opis: problem s oštećenjem memorije riješen je poboljšanom provjerom valjanosti ulaznih podataka.

CVE-2016-4725: Rodger Combs (Plex, Inc.)

Unos je dodan 20. rujna 2016.

IOAcceleratorFamily

Dostupno za: sve modele Apple Watch uređaja

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4726: anoniman istraživač

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: udaljeni napadač mogao bi uzrokovati uskraćivanje usluge

Opis: problem rukovanja blokadom riješen je poboljšanim rukovanjem blokadom.

CVE-2016-4772: Marc Heuse (mh-sec)

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: aplikacije su mogle odrediti raspored elemenata kernelske memorije

Opis: otkriveni su višestruki problemi s prekoračenjem čitanja, koji su uzrokovali otkrivanje kernelske memorije. Ti su problemi riješeni poboljšanom provjerom unosa.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: lokalni korisnik s ovlastima za kernel mogao je izvršiti proizvoljni programski kod

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4775: Brandon Azad

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: dereferenca pokazivača koji se ne smatra pouzdanim riješena je uklanjanjem zahvaćenog koda.

CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)

Unos je dodan 20. rujna 2016.

Kernel

Dostupno za: sve modele Apple Watch uređaja

Učinak: uz kernelske ovlasti neke aplikacije mogu izvršiti proizvoljni kod

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4778: CESG

Unos je dodan 20. rujna 2016.

libxml2

Dostupno za: sve modele Apple Watch uređaja

Opis: u komponenti libxml2 otkriveni su višestruki problemi, od kojih je najveći mogao uzrokovati neočekivani prekid rada aplikacije ili izvršavanje proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Unos je dodan 20. rujna 2016.

libxslt

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: problem s oštećenjem memorije riješen je poboljšanim upravljanjem memorijom.

CVE-2016-4738: Nick Wellnhofer

Unos je dodan 20. rujna 2016.

Sigurnost

Dostupno za: sve modele Apple Watch uređaja

Učinak: neke zlonamjerne aplikacije mogu uz sistemske ovlasti izvršiti proizvoljni kod

Opis: na potpisanim slikama diska otkriven je problem s provjerom valjanosti. Taj je problem riješen poboljšanom provjerom valjanosti veličina.

CVE-2016-4753: Mark Mentovai, Google Inc.

Unos je dodan 20. rujna 2016.

WebKit

Dostupno za: sve modele Apple Watch uređaja

Učinak: obradom zlonamjernog web-sadržaja moglo je doći do izvršavanja proizvoljnog koda

Opis: veći broj problema s oštećenom memorijom riješen je poboljšanim rukovanjem memorijom.

CVE-2016-4737: Apple

Unos je dodan 20. rujna 2016.

Wi-Fi upravitelj

Dostupno za: sve modele Apple Watch uređaja

Učinak: proširenja aplikacija mogu dobiti pristup internetu

Opis: višestruke poteškoće u provođenju pravila pri dijeljenju Wi-Fi mreže. Ovaj je problem riješen poboljšanim provjerama ovlasti.

CVE-2016-7699: Proteas (Qihoo 360, Nirvan tim)

Unos dodan 17. svibnja 2017.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: