A watchOS 2.1 biztonsági tartalma
Ez a dokumentum a watchOS 2.1 biztonsági tartalmát ismerteti.
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.
Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.
Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.
Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.
watchOS 2.1
AppSandbox
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A rosszindulatú alkalmazások azután is hozzá tudtak férni a Kontaktokhoz, hogy megtagadták tőlük a hozzáférést.
Leírás: Fellépett egy hiba a rögzített hivatkozások sandbox általi kezelésekor. Azáltal hárították el a problémát, hogy megerősítették az alkalmazás sandboxának védelmét.
CVE-azonosító
CVE-2015-7001 : Razvan Deaconescu és Mihai Bucicoiu (University POLITEHNICA, Bucharest), Luke Deshotels és William Enck (North Carolina State University), Lucas Vincenzo Davi és Ahmad-Reza Sadeghi (TU Darmstadt)
Tömörítés
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a zlib esetén. Hatékonyabb memóriainicializálással és a zlib-streamek további ellenőrzésével küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-7054 : j00ru
CoreGraphics
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-7105 : John Villamil (@day6reak), Yahoo Pentest Team
CoreMedia Playback
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású médiafájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7075
dyld
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Szegmensérvényesítési hiba állt fenn a dyld esetén. Hatékonyabb környezettisztítással hárították el a problémát.
CVE-azonosító
CVE-2015-7072 : Apple
FontParser
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok feldolgozásakor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-6978 : Jaanus Kp, Clarified Security, a HP Zero Day Initiative kezdeményezésének közreműködőjeként
GasGauge
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-6979 : PanguTeam
ImageIO
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülést okozó hiba állt fenn az ImageIO esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7053 : Apple
IOHIDFamily
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az IOHIDFamily esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7111 : beist és ABH (BoB)
CVE-2015-7112 : Ian Beer (Google Project Zero)
IOKit SCSI
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Címke nélküli mutatófeloldási hiba lépett fel egy bizonyos típusú userclient kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.
CVE-azonosító
CVE-2015-7068 : Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-azonosító
CVE-2015-7040 : Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7041 : Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7042 : Lufeng Li (Qihoo 360 Vulcan Team)
CVE-2015-7043 : Tarjei Mandt (@kernelpool)
Kernel
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Fellépett egy hiba a Mach-üzenetek elemzésekor. A Mach-üzenetek hatékonyabb ellenőrzésével hárították el a problémát.
CVE-azonosító
CVE-2015-7047 : Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7083 : Ian Beer (Google Project Zero)
CVE-2015-7084 : Ian Beer (Google Project Zero)
LaunchServices
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Memóriasérülési hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7113 : Olivier Goguel (Free Tools Association)
libarchive
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Memóriasérülési hiba lépett fel az archívumok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2011-2895 : @practicalswift
libc
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott csomagok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a szabványos C-könyvtárban. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7038 : Brian D. Wells (E. W. Scripps), Narayan Subramanian (Symantec Corporation/Veritas LLC)
CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)
A bejegyzés frissítve: 2017. március 3.
mDNSResponder
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy címke nélküli mutatófeloldási hibát.
CVE-azonosító
CVE-2015-7988 : Alexandre Helie
OpenGL
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több memóriasérülési hiba is fennállt az OpenGL esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.
CVE-azonosító
CVE-2015-7064 : Apple
CVE-2015-7066 : Tongbo Luo és Bo Qu (Palo Alto Networks)
Sandbox
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások meg tudták kerülni a kernel véletlenszerű címtér-elrendezéses védelmét.
Leírás: Jogosultság-szétválasztási hiba állt fenn az xnu esetén. Hatékonyabb jogosultságellenőrzéssel küszöbölték ki a problémát.
CVE-azonosító
CVE-2015-7046 : Apple
Biztonság
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.
Leírás: Memóriasérülést okozó hiba lépett fel az SSL-kézfogások kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.
CVE-azonosító
CVE-2015-7073 : Benoit Foucher (ZeroC, Inc.)
Biztonság
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az ASN.1 dekóderben. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémákat
CVE-azonosító
CVE-2015-7059 : David Keeler (Mozilla)
CVE-2015-7060 : Tyson Smith (Mozilla)
CVE-2015-7061 : Ryan Sleevi (Google)
Biztonság
A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.
Érintett terület: Előfordult, hogy a visszavonás-ellenőrzés megkövetelésére konfigurált megbízhatóság-kiértékelés akkor is sikeres volt, ha nem teljesültek a visszavonás-ellenőrzés feltételei.
Leírás: A kSecRevocationRequirePositiveResponse jelölő meghatározásra került, de nem ment végbe az érvényesítése. A jelölő érvényesítésével hárították el a problémát.
CVE-azonosító
CVE-2015-6997 : Apple
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.