A watchOS 3.1 biztonsági tartalma

Ez a dokumentum a watchOS 3.1 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple-termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

watchOS 3.1

Kiadási dátum: 2016. október 24.

AppleMobileFileIntegrity

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Előfordult, hogy az aláírt végrehajtható fájlok ugyanazzal a csoportazonosítóval helyettesítettek kódokat.

Leírás: Érvényesítési hiba lépett fel a kódalapú aláírások kezelésekor. További érvényesítés bevezetésével küszöbölték ki a problémát.

CVE-2016-7584: Mark Mentovai és Boris Vidolov (Google Inc.)

Bejegyzés hozzáadva 2016. december 6-án.

CoreGraphics

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott JPEG-fájlok megtekintésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2016-4673 : Marco Grassi (@marcograss; KeenLab [@keen_lab]), Tencent

FontParser

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Az ártó szándékkal létrehozott betűtípusok elemzésekor felfedhetők voltak bizalmas jellegű felhasználói adatok.

Leírás: Hatékonyabb határérték-ellenőrzéssel kiküszöböltek egy határérték-olvasási hibát.

CVE-2016-4660 : Ke Liu (Tencent; Xuanwu Lab)

FontParser

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor. 

Leírás: Puffertúlcsordulást okozó probléma lépett fel a betűtípusfájlok kezelésekor. A határérték-ellenőrzés javítása révén küszöbölték ki a problémát.

CVE-2016-4688: Simon Huang (Alipay company), thelongestusernameofall@gmail.com

Bejegyzés hozzáadva 2016. november 27-én.

Kernel

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: A helyi felhasználók a rendszer váratlan leállását tudták előidézni, illetve tetszőleges kódot tudtak végrehajtani a kernelben.

Leírás: Több beviteli érvényesség-ellenőrzési hiba állt fenn a MIG által generált kódban. Hatékonyabb ellenőrzéssel hárították el a problémákat.

CVE-2016-4669 : Ian Beer (Google Project Zero)

Bejegyzés frissítve 2016. november 2-án.

Kernel

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Az alkalmazások fel tudták fedni a kernelmemóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2016-4680: Max Bazaliy (Lookout) és in7egral

Kernel

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: A gyökérszintű jogosultsággal rendelkező helyi alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Több probléma fellépett az objektumok élettartamával kapcsolatban új folyamatok származtatásakor. Hatékonyabb ellenőrzéssel hárították el a problémákat.

CVE-2016-7613 : Ian Beer (Google Project Zero)

Bejegyzés hozzáadva 2016. november 1-jén.

libarchive

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: A rosszindulatú archívumok felül tudtak írni tetszőleges fájlokat.

Leírás: Egy hiba állt fenn a szimbolikus hivatkozások útvonal-érvényesítési logikájában. Hatékonyabb útvonaltisztítással hárították el a problémát.

CVE-2016-4679: Omer Medan (enSilo Ltd)

libxpc

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: A gyökérszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: További korlátozásokkal elhárítottak egy logikai hibát.

CVE-2016-4675 : Ian Beer (Google Project Zero)

Sandbox-profilok

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Az alkalmazások be tudták olvasni a fotókönyvtárak metaadatait.

Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.

CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

Sandbox-profilok

A következőkhöz érhető el: Az összes Apple Watch modell.

Érintett terület: Az alkalmazások be tudták olvasni a hangfelvételeket tároló könyvtárak metaadatait.

Leírás: Elhárítottak egy hozzáféréssel összefüggő problémát azáltal, hogy további sandbox-korlátozásokat vezettek be a külső fejlesztésű alkalmazások esetén.

CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA, Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: