A watchOS 3 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 3 biztonsági változásjegyzékét ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

watchOS 3

Kiadás dátuma: 2016. szeptember 13.

Hang

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A távoli támadók tetszőleges programkód végrehajtását tudták előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park és Taekyoung Kwon (Information Security Lab, Yonsei University)

Bejegyzés hozzáadva: 2016. szeptember 20.

CFNetwork

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor meg lehetett szerezni a felhasználói adatokat.

Leírás: Beviteli érvényesség-ellenőrzési probléma lépett fel a „set-cookie” fejléc elemzésekor. Hatékonyabb hitelesítési ellenőrzéssel hárítottuk el a problémát.

CVE-2016-4708: Dawid Czagan (Silesia Security Lab)

Bejegyzés hozzáadva: 2016. szeptember 20.

CoreCrypto

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy határértéket túllépő írási problémát a sebezhető kód eltávolításával.

CVE-2016-4712: Köteles Gergő

Bejegyzés hozzáadva: 2016. szeptember 20.

FontParser

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok feldolgozása lehetőséget adott a folyamatmemória közzétételére.

Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2016-4718: Apple

Bejegyzés hozzáadva: 2016. szeptember 20.

GeoServices

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások be tudtak olvasni bizalmas jellegű helyadatokat.

Leírás: Egy engedélyezési hiba állt fenn a PlaceData esetén. Az engedélyek hatékonyabb ellenőrzésével hárították el a problémát.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IOAcceleratorFamily

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az ártó szándékkal létrehozott webes tartalmak feldolgozásakor lehetővé vált a folyamatmemória közzététele.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4725: Rodger Combs (Plex, Inc.)

Bejegyzés hozzáadva: 2016. szeptember 20.

IOAcceleratorFamily

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4726: anonim kutató

Bejegyzés hozzáadva: 2016. szeptember 20.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A távoli támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Elhárítottunk egy zároláskezelési hibát hatékonyabb zároláskezeléssel.

CVE-2016-4772: Marc Heuse (mh-sec)

Bejegyzés hozzáadva: 2016. szeptember 20.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások meg tudták állapítani a kernelmemória elrendezését.

Leírás: Több határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárítottuk el a problémákat.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Bejegyzés hozzáadva: 2016. szeptember 20.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4775: Brandon Azad

Bejegyzés hozzáadva: 2016. szeptember 20.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Elhárítottunk egy nem megbízható mutatófeloldást az érintett kód eltávolításával.

CVE-2016-4777: Lufeng Li (Qihoo 360 Vulcan Team)

Bejegyzés hozzáadva: 2016. szeptember 20.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4778: CESG

Bejegyzés hozzáadva: 2016. szeptember 20.

libxml2

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A libxml2 könyvtárban több probléma állt fenn, amelyek közül a legsúlyosabb váratlan alkalmazásleállást, illetve tetszőleges kódvégrehajtást tett lehetővé.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Bejegyzés hozzáadva: 2016. szeptember 20.

libxslt

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4738: Nick Wellnhofer

Bejegyzés hozzáadva: 2016. szeptember 20.

Biztonság

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Érvényesítési hiba állt fenn az aláírt lemezképek esetén. Hatékonyabb méretellenőrzéssel küszöböltük ki a problémát.

CVE-2016-4753: Mark Mentovai (Google Inc.)

Bejegyzés hozzáadva: 2016. szeptember 20.

WebKit

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több, memóriasérüléssel kapcsolatos problémát.

CVE-2016-4737: Apple

Bejegyzés hozzáadva: 2016. szeptember 20.

Wi-Fi Manager

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az alkalmazásbővítmények internet-hozzáféréshez jutottak hozzá

Leírás: Több irányelv-érvényesítési probléma a Wi-Fi-megosztásra vonatkozóan. Hatékonyabb jogosultság-ellenőrzéssel küszöbölték ki a problémákat.

CVE-2016-7699: Proteas (Qihoo 360 Nirvan Team)

Bejegyzés hozzáadva: 2017. május 17.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: