A watchOS 2.2.2 biztonsági tartalma
Ez a dokumentum a watchOS 2.2.2 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
watchOS 2.2.2
CoreGraphics
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4637 : Tyler Bohan (Cisco Talos, talosintel.com/vulnerability-reports)
ImageIO
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.
CVE-2016-4632 : Evgeny Sidorov (Yandex)
ImageIO
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-4631 : Tyler Bohan (Cisco Talos, talosintel.com/vulnerability-reports)
ImageIO
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-7705 : Craig Young (Tripwire VERT)
IOAcceleratorFamily
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-2016-4627 : Ju Zhu (Trend Micro)
IOAcceleratorFamily
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2016-4628 : Ju Zhu (Trend Micro)
IOHIDFamily
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-2016-4626 : Stefan Esser (SektionEins)
IOHIDFamily
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4650 : Peter Pi (Trend Micro; a HP Zero Day Initiative kezdeményezésének közreműködőjeként)
Kernel
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-1863 : Ian Beer (Google Project Zero)
CVE-2016-4653 : Ju Zhu (Trend Micro)
CVE-2016-4582 : Shrek_wzw és Proteas (Qihoo 360 Nirvan Team)
Kernel
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A helyi felhasználók szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-2016-1865 : CESG, Marco Grassi (@marcograss; KeenLab [@keen_lab], Tencent)
Libc
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A távoli támadók váratlan alkalmazásleállást tudtak előidézni, illetve tetszőleges programkódot tudtak végrehajtani.
Leírás: Puffertúlcsordulást okozó probléma állt fenn a „link_ntoa()” függvényben a linkaddr.c esetén. További határérték-ellenőrzéssel küszöbölték ki a problémát.
CVE-2016-6559 : Apple
libxml2
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Több biztonsági rés a libxml2 esetén.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836 : Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-4447 : Wei Lei és Liu Yang (Nanyang Technological University)
CVE-2016-4448 : Apple
CVE-2016-4483 : Gustavo Grieco
CVE-2016-4614 : Nick Wellnhofer
CVE-2016-4615 : Nick Wellnhofer
CVE-2016-4616 : Michael Paddon
libxml2
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Az ártó szándékkal létrehozott XML-dokumentumok elemzésekor felfedhetők voltak a felhasználói adatok.
Leírás: Hozzáféréssel összefüggő probléma lépett fel az ártó szándékkal létrehozott XML-fájlok elemzésekor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-2016-4449 : Kostya Serebryany
libxslt
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Több biztonsági rés a libxslt esetén.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.
CVE-2016-1683 : Nicolas Grégoire
CVE-2016-1684 : Nicolas Grégoire
CVE-2016-4607 : Nick Wellnhofer
CVE-2016-4608 : Nicolas Grégoire
CVE-2016-4609 : Nick Wellnhofer
CVE-2016-4610 : Nick Wellnhofer
Sandbox-profilok
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy a helyi alkalmazások hozzá tudtak férni a feldolgozási listához.
Leírás: Egy hozzáférési hiba állt fenn a privilegizált API-hívások esetén. További korlátozások bevezetésével küszöbölték ki a problémát.
CVE-2016-4594 : Stefan Esser (SektionEins)
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.