A watchOS 3.2.2 biztonsági tartalma
Ez a dokumentum a watchOS 3.2.2 biztonsági tartalmát ismerteti.
Tudnivalók az Apple biztonsági frissítéseiről
Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.
A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.
Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.
watchOS 3.2.2
AVEVideoEncoder
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az alkalmazások kernelszintű jogosultságot tudtak szerezni.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2017-6989: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CVE-2017-6994: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CVE-2017-6995: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CVE-2017-6996: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CVE-2017-6997: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CVE-2017-6998: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CVE-2017-6999: Adam Donenfeld (@doadam; Zimperium zLabs Team)
CoreAudio
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-2502: Yangkang (@dnpushme; Qihoo360 Qex Team)
CoreFoundation
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott adatok elemzésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-2522: Ian Beer (Google Project Zero)
CoreText
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor alkalmazásleállásra került sor.
Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.
CVE-2017-7003: Jake Davis (SPYSCAPE; @DoubleJake)
Foundation
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott adatok elemzésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-2523: Ian Beer (Google Project Zero)
IOSurface
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az alkalmazások kernelszintű jogosultságot tudtak szerezni.
Leírás: Hatékonyabb zárolás révén elhárítottak egy versenyhelyzeti problémát.
CVE-2017-6979: Adam Donenfeld (@doadam; Zimperium zLabs Team)
Kernel
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.
Leírás: Hatékonyabb zárolás révén elhárítottunk egy versenyhelyzeti problémát.
CVE-2017-2501: Ian Beer (Google Project Zero)
Kernel
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.
Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.
CVE-2017-2507: Ian Beer (Google Project Zero)
CVE-2017-6987: Patrick Wardle (Synack)
SQLite
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.
CVE-2017-2513: found by OSS-Fuzz
SQLite
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy puffertúlcsordulást okozó problémát.
CVE-2017-2518: found by OSS-Fuzz
CVE-2017-2520: found by OSS-Fuzz
SQLite
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-2519: found by OSS-Fuzz
TextInput
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott adatok elemzésekor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.
CVE-2017-2524: Ian Beer (Google Project Zero)
WebKit
A következőkhöz érhető el: Az összes Apple Watch-modell.
Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.
Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.
CVE-2017-2521: lokihardt (Google Project Zero)
További köszönetnyilvánítás
Kernel
Köszönjük Orr A. (Aleph Research, HCL Technologies) segítségét.
Biztonság
Köszönjük Ian Beer (Google Project Zero) segítségét.
A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.