A watchOS 3.2.2 biztonsági tartalma

Ez a dokumentum a watchOS 3.2.2 biztonsági tartalmát ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

watchOS 3.2.2

Kiadási dátum: 2017. május 15.

AVEVideoEncoder

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások kernelszintű jogosultságot tudtak szerezni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2017-6989: Adam Donenfeld (@doadam; Zimperium zLabs Team)

CVE-2017-6994: Adam Donenfeld (@doadam; Zimperium zLabs Team)

CVE-2017-6995: Adam Donenfeld (@doadam; Zimperium zLabs Team)

CVE-2017-6996: Adam Donenfeld (@doadam; Zimperium zLabs Team)

CVE-2017-6997: Adam Donenfeld (@doadam; Zimperium zLabs Team)

CVE-2017-6998: Adam Donenfeld (@doadam; Zimperium zLabs Team)

CVE-2017-6999: Adam Donenfeld (@doadam; Zimperium zLabs Team)

Bejegyzés frissítve: 2017. május 17.

CoreAudio

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-2502: Yangkang (@dnpushme; Qihoo360 Qex Team)

CoreFoundation

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott adatok elemzésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-2522: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2017. május 19.

CoreText

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott fájlok feldolgozásakor alkalmazásleállásra került sor.

Leírás: Hatékonyabb ellenőrzéssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2017-7003: Jake Davis (SPYSCAPE; @DoubleJake)

Bejegyzés hozzáadva: 2017. május 31.

Foundation

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott adatok elemzésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-2523: Ian Beer (Google Project Zero)

Bejegyzés hozzáadva: 2017. május 19.

IOSurface

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások kernelszintű jogosultságot tudtak szerezni.

Leírás: Hatékonyabb zárolás révén elhárítottak egy versenyhelyzeti problémát.

CVE-2017-6979: Adam Donenfeld (@doadam; Zimperium zLabs Team)

Bejegyzés frissítve: 2017. május 17.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb zárolás révén elhárítottunk egy versenyhelyzeti problémát.

CVE-2017-2501: Ian Beer (Google Project Zero)

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-2507: Ian Beer (Google Project Zero)

CVE-2017-6987: Patrick Wardle (Synack)

SQLite

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy felszabadítás utáni használattal kapcsolatos problémát.

CVE-2017-2513: found by OSS-Fuzz

SQLite

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel elhárítottunk egy puffertúlcsordulást okozó problémát.

CVE-2017-2518: found by OSS-Fuzz

CVE-2017-2520: found by OSS-Fuzz

SQLite

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az ártó szándékkal létrehozott SQL-lekérdezések tetszőleges programkód végrehajtására adtak lehetőséget.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-2519: found by OSS-Fuzz

TextInput

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott adatok elemzésekor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-2524: Ian Beer (Google Project Zero)

WebKit

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webes tartalmak feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak több memóriasérüléssel kapcsolatos problémát.

CVE-2017-2521: lokihardt (Google Project Zero)

További köszönetnyilvánítás

Kernel

Köszönjük Orr A. (Aleph Research, HCL Technologies) segítségét.

Biztonság

Köszönjük Ian Beer (Google Project Zero) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: