Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
watchOS 3.1
Kiadási dátum: 2016. október 24.
AppleMobileFileIntegrity
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Előfordult, hogy az aláírt végrehajtható fájlok ugyanazzal a csoportazonosítóval helyettesítettek kódokat.
Leírás: Érvényesítési hiba lépett fel a kódalapú aláírások kezelésekor. További érvényesítés bevezetésével küszöbölték ki a problémát.
CVE-2016-7584: Mark Mentovai és Boris Vidolov (Google Inc.)
Bejegyzés hozzáadva 2016. december 6-án.
CoreGraphics
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2016-4673 : Marco Grassi (@marcograss; KeenLab [@keen_lab]), Tencent
FontParser
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Az ártó szándékkal létrehozott betűtípusok elemzésekor felfedhetők voltak bizalmas jellegű felhasználói adatok.
Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.
CVE-2016-4660 : Ke Liu (Tencent; Xuanwu Lab)
FontParser
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.
CVE-2016-4688: Simon Huang (Alipay company), thelongestusernameofall@gmail.com
Bejegyzés hozzáadva 2016. november 27-én.
Kernel
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.
Leírás: Több beviteli érvényesség-ellenőrzési hiba állt fenn a MIG által generált kódban. Hatékonyabb ellenőrzéssel hárították el a problémákat.
CVE-2016-4669 : Ian Beer (Google Project Zero)
Bejegyzés frissítve 2016. november 2-án.
Kernel
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Az alkalmazások fel tudták fedni a kernelmemóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2016-4680: Max Bazaliy (Lookout) és in7egral
Kernel
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: A gyökérszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Több probléma fellépett az objektumok élettartamával kapcsolatban új folyamatok származtatásakor. Hatékonyabb ellenőrzéssel hárították el a problémákat.
CVE-2016-7613 : Ian Beer (Google Project Zero)
Bejegyzés hozzáadva 2016. november 1-jén.
libarchive
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: A rosszindulatú archívumok felül tudtak írni tetszőleges fájlokat.
Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.
CVE-2016-4679: Omer Medan (enSilo Ltd)
libxpc
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: További korlátozásokkal elhárítottak egy logikai hibát.
CVE-2016-4675 : Ian Beer (Google Project Zero)
Sandbox-profilok
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Az alkalmazások be tudták olvasni a fotókönyvtárak metaadatait.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Sandbox-profilok
A következőkhöz érhető el: Az összes Apple Watch modell.
Érintett terület: Az alkalmazások be tudták olvasni a hangfelvételeket tároló könyvtárak metaadatait.
Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)