A watchOS 4 biztonsági változásjegyzéke

Ez a dokumentum a watchOS 4 biztonsági bejelentéseit és változásjegyzékét ismerteti.

Tudnivalók az Apple biztonsági frissítéseiről

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. A legújabb szoftverkiadások listája az Apple biztonsági frissítéseivel foglalkozó oldalon található.

A biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben. Az Apple-lel folytatott kommunikációt az Apple termékbiztonsági PGP-kulcsának segítségével titkosíthatja.

Ahol csak lehetséges, az Apple a CVE-azonosítójuk alapján hivatkozik a biztonsági résekre.

watchOS 4

Kiadási dátum: 2017. szeptember 19.

802.1X

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A támadók ki tudták használni a TLS 1.0-s verziójában fennálló réseket.

Leírás: A TLS 1.1 és a TLS 1.2 engedélyezésével elhárítottak egy protokoll-biztonsági hibát.

CVE-2017-13832: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

CFNetwork proxyk

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A magas hálózati jogosultságú támadók szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

A bejegyzés hozzáadva: 2017. szeptember 25.

CFString

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva 2017. október 31-én.

CoreAudio

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Az Opus 1.1.4-es verziójára való frissítéssel elhárítottak egy határérték-olvasási hibát.

CVE-2017-0381: V.E.O (@VYSEa; Mobile Threat Research Team), Trend Micro

A bejegyzés hozzáadva: 2017. szeptember 25.

CoreText

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva 2017. október 31-én.

file

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Több biztonsági rés volt a file esetén.

Leírás: Több hibát elhárítottak az 5.31-es verziójára való frissítéssel.

CVE-2017-13815

Bejegyzés hozzáadva 2017. október 31-én.

Betűtípusok

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy nem megbízható szövegek renderelésekor hamisításra került sor.

Leírás: Hatékonyabb állapotkezeléssel elhárítottak egy inkonzisztens felhasználói felülettel kapcsolatos problémát.

CVE-2017-13828: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

HFS

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13830: Sergej Schumilo (Ruhr-University Bochum)

Bejegyzés hozzáadva 2017. október 31-én.

ImageIO

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

Leírás: Hatékonyabb bevitel-ellenőrzéssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Bejegyzés hozzáadva 2017. október 31-én.

ImageIO

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor szolgáltatásmegtagadás lépett fel.

Leírás: Adatközzétételi probléma lépett fel a lemezképek kezelésekor. A memóriakezelés javításával küszöbölték ki a problémát.

CVE-2017-13831: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy a helyi felhasználók olvasni tudták a kernelmemóriát.

Leírás: Egy határérték-olvasási hiba miatt felfedhető volt a kernelmemória tartalma. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

CVE-2017-13817: Maxime Villard (m00nbsd)

Bejegyzés hozzáadva 2017. október 31-én.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások olvasni tudták a korlátozott memóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-13818: National Cyber Security Centre (NCSC, Egyesült Királyság)

CVE-2017-13836: anonim kutató, anonim kutató

CVE-2017-13841: anonim kutató

CVE-2017-13840: anonim kutató

CVE-2017-13842: anonim kutató

CVE-2017-13782: anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-13843: anonim kutató, anonim kutató

Bejegyzés hozzáadva 2017. október 31-én.

Kernel

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A kernelszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

A bejegyzés hozzáadva: 2017. szeptember 25.

libarchive

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy puffertúlcsordulást okozó problémát.

CVE-2017-13813: az OSS-Fuzz fedezte fel

CVE-2017-13816: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva 2017. október 31-én.

libarchive

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott archívumok kicsomagolásakor tetszőleges kód végrehajtására került sor.

Leírás: Több memóriasérüléssel kapcsolatos probléma állt fenn a libarchive esetén. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémákat.

CVE-2017-13812: az OSS-Fuzz fedezte fel

Bejegyzés hozzáadva 2017. október 31-én.

libc

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Távoli támadó szolgáltatásmegtagadást tudott előidézni.

Leírás: Egy hatékonyabb algoritmussal elhárították a glob() esetén fellépett, erőforrásfogyással kapcsolatos hibát.

CVE-2017-7086: Russ Cox (Google)

A bejegyzés hozzáadva: 2017. szeptember 25.

libc

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az alkalmazások szolgáltatásmegtagadást tudtak előidézni.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriafelhasználási hibát.

CVE-2017-1000373

A bejegyzés hozzáadva: 2017. szeptember 25.

libexpat

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az expat több biztonsági rése.

Leírás: Több hibát elhárítottak a 2.2.1-es verzióra való frissítéssel.

CVE-2016-9063

CVE-2017-9233

A bejegyzés hozzáadva: 2017. szeptember 25.

Biztonság

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Meg lehetett jelölni megbízhatóként a visszavont tanúsítványokat.

Leírás: Tanúsítványhitelesítéssel kapcsolatos probléma lépett fel a visszavonási adatok kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

CVE-2017-7080: anonim kutató, Sven Driemecker (adesso mobile solutions gmbh), anonim kutató, Rune Darrud (@theflyingcorpse; Bærum kommune)

A bejegyzés hozzáadva: 2017. szeptember 25.

SQLite

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: Az SQLite több biztonsági rése.

Leírás: Több hibát elhárítottak a 3.19.3-as verzióra való frissítéssel.

CVE-2017-10989: az OSS-Fuzz fedezte fel

CVE-2017-7128: az OSS-Fuzz fedezte fel

CVE-2017-7129: az OSS-Fuzz fedezte fel

CVE-2017-7130: az OSS-Fuzz fedezte fel

A bejegyzés hozzáadva: 2017. szeptember 25.

SQLite

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A rendszerszintű jogosultsággal rendelkező alkalmazások tetszőleges programkódot tudtak végrehajtani.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7127: anonim kutató

A bejegyzés hozzáadva: 2017. szeptember 25.

Wi-Fi

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A Wi-Fi-chipen futtatott rosszindulatú kódok kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni az alkalmazásprocesszoron.

Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy memóriasérülési hibát.

CVE-2017-7103: Gal Beniamini (Google Project Zero)

CVE-2017-7105: Gal Beniamini (Google Project Zero)

CVE-2017-7108: Gal Beniamini (Google Project Zero)

CVE-2017-7110: Gal Beniamini (Google Project Zero)

CVE-2017-7112: Gal Beniamini (Google Project Zero)

Wi-Fi

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A Wi-Fi-chipen futtatott rosszindulatú kódok olvasni tudták a korlátozott kernelmemóriát.

Leírás: Beviteltisztítással elhárítottak egy hitelesítési hibát.

CVE-2017-7116: Gal Beniamini (Google Project Zero)

zlib

A következőkhöz érhető el: Az összes Apple Watch-modell.

Érintett terület: A zlib több biztonsági rése.

Leírás: Több hibát elhárítottak az 1.2.11-es verzióra való frissítéssel.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

A bejegyzés hozzáadva: 2017. szeptember 25.

További köszönetnyilvánítás

Biztonság

Köszönjük Abhinav Bansal (Zscaler, Inc.) segítségét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: