Mengenai konten keamanan watchOS 3.2
Dokumen ini menjelaskan konten keamanan watchOS 3.2.
Mengenai pembaruan keamanan Apple
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi telah dilakukan dan perbaikan program atau rilis telah tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.
Untuk informasi lebih lanjut mengenai keamanan, kunjungi halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.
Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.
watchOS 3.2
Audio
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2430 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
CVE-2017-2462 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
Carbon
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Kelebihan buffer muncul saat menangani file fon. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-2017-2379: riusksk (泉哥) dari Departemen Platform Keamanan Tencent, John Villamil, Doyensec
CoreGraphics
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan penolakan layanan
Deskripsi: Rekursi tidak terhingga telah diatasi melalui pengelolaan kondisi yang lebih baik.
CVE-2017-2417: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
CoreGraphics
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2444: Mei Wang dari 360 GearTeam
CoreText
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses fon perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses pesan teks perusak yang berbahaya dapat mengakibatkan penolakan layanan aplikasi
Deskripsi: Masalah kehabisan sumber daya diatasi melalui validasi input yang lebih baik.
CVE-2017-2461: seorang peneliti anonim, Isaac Archambault dari IDAoADI
FontParser
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2487: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
CVE-2017-2406: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
FontParser
Tersedia untuk: Semua model Apple Watch
Dampak: Menguraikan file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2407: riusksk (泉哥) dari Departemen Platform Keamanan Tencent
FontParser
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses fon perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses
Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Tersedia untuk: Semua model Apple Watch
Dampak: Server HTTP/2 berbahaya mungkin dapat menyebabkan perilaku yang tidak ditentukan
Deskripsi: Beberapa masalah muncul di nghttp2 sebelum 1.17.0. Masalah ini telah diatasi dengan memperbarui nghttp2 ke versi 1.17.0.
CVE-2017-2428
ImageIO
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) dari KeenLab, Tencent
ImageIO
Tersedia untuk: Semua model Apple Watch
Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2432: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro
ImageIO
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2467
ImageIO
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba
Deskripsi: Pembacaan di luar batas muncul pada versi LibTIFF sebelum 4.0.7. Masalah ini telah diatasi dengan memperbarui LibTIFF di ImageIO ke versi 4.0.7.
CVE-2016-3619
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2401: Lufeng Li dari Qihoo 360 Vulcan Team
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2440: peneliti anonim
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Kondisi pacu telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2456: lokihardt dari Google Project Zero
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah use after free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2472 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2473 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah yang disebabkan oleh banyak kondisi (off-by-one) telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-2017-2474 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Kondisi pacu telah diatasi melalui penguncian yang lebih baik.
CVE-2017-2478 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2482 : Ian Beer dari Google Project Zero
CVE-2017-2483 : Ian Beer dari Google Project Zero
Kernel
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi
Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2490: Ian Beer dari Google Project Zero, The UK's National Cyber Security Centre (NCSC)
Papan Ketik
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer
Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Tersedia untuk: Semua model Apple Watch
Dampak: Penyerang lokal mungkin dapat mengubah izin sistem file di direktori arbitrer
Deskripsi: Masalah validasi muncul saat menangani file symlink. Masalah ini telah diatasi melalui validasi symlink yang lebih baik.
CVE-2017-2390: Omer Medan dari enSilo Ltd
libc++abi
Tersedia untuk: Semua model Apple Watch
Dampak: Melakukan demangling aplikasi C++ yang berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah use after free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2441
libxslt
Tersedia untuk: Semua model Apple Watch
Dampak: Beberapa kerentanan dalam libxslt
Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-5029: Holger Fuhrmannek
Keamanan
Tersedia untuk: Semua model Apple Watch
Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa dasar
Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan batas-batas yang lebih baik.
CVE-2017-2451: Alex Radocea dari Longterm Security, Inc.
Keamanan
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses sertifikat x509 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat menguraikan sertifikat. Masalah ini telah diatasi melalui validasi input yang lebih baik.
CVE-2017-2485: Aleksandar Nikolic dari Cisco Talos
WebKit
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang lebih baik.
CVE-2017-2415: Kai Kang dari Tencent's Xuanwu Lab (tencent.com)
WebKit
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses konten web perusak yang berbahaya dapat menyebabkan tingginya pemakaian memori
Deskripsi: Masalah pemakaian memori sumber daya yang tidak terkontrol telah diatasi melalui pemrosesan regex yang lebih baik.
CVE-2016-9643: Gustavo Grieco
WebKit
Tersedia untuk: Semua model Apple Watch
Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah use after free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.
CVE-2017-2471: Ivan Fratric dari Google Project Zero
Penghargaan tambahan
XNU
Kami ingin berterima kasih pada Lufeng Li dari Qihoo 360 Vulcan Team atas bantuannya.
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.