Mengenai konten keamanan watchOS 3.2

Dokumen ini menjelaskan konten keamanan watchOS 3.2.

Mengenai pembaruan keamanan Apple

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi telah dilakukan dan perbaikan program atau rilis telah tersedia. Rilis terbaru tercantum di halaman pembaruan keamanan Apple.

Untuk informasi lebih lanjut mengenai keamanan, kunjungi halaman Keamanan Produk Apple. Anda dapat mengenkripsi komunikasi dengan Apple menggunakan Kunci PGP Keamanan Produk Apple.

Dokumen keamanan Apple memberikan referensi tentang kerentanan menurut CVE-ID jika memungkinkan.

watchOS 3.2

Dirilis pada 27 Maret 2017

Audio

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file audio perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2430 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

CVE-2017-2462 : Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

Carbon

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file .dfont perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Kelebihan buffer muncul saat menangani file fon. Masalah ini telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2017-2379: riusksk (泉哥) dari Departemen Platform Keamanan Tencent, John Villamil, Doyensec

CoreGraphics

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan penolakan layanan

Deskripsi: Rekursi tidak terhingga telah diatasi melalui pengelolaan kondisi yang lebih baik.

CVE-2017-2417: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

CoreGraphics

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2444: Mei Wang dari 360 GearTeam

CoreText

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses fon perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses pesan teks perusak yang berbahaya dapat mengakibatkan penolakan layanan aplikasi

Deskripsi: Masalah kehabisan sumber daya diatasi melalui validasi input yang lebih baik.

CVE-2017-2461: seorang peneliti anonim, Isaac Archambault dari IDAoADI

FontParser

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2487: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

CVE-2017-2406: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

FontParser

Tersedia untuk: Semua model Apple Watch

Dampak: Menguraikan file fon perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2407: riusksk (泉哥) dari Departemen Platform Keamanan Tencent

FontParser

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses fon perusak yang berbahaya dapat mengakibatkan pengungkapan memori proses

Deskripsi: Pembacaan di luar batas telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Tersedia untuk: Semua model Apple Watch

Dampak: Server HTTP/2 berbahaya mungkin dapat menyebabkan perilaku yang tidak ditentukan

Deskripsi: Beberapa masalah muncul di nghttp2 sebelum 1.17.0. Masalah ini telah diatasi dengan memperbarui nghttp2 ke versi 1.17.0.

CVE-2017-2428

Entri diperbarui tanggal 28 Maret 2017

ImageIO

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) dari KeenLab, Tencent

ImageIO

Tersedia untuk: Semua model Apple Watch

Dampak: Menampilkan file JPEG perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2432: Peneliti anonim bekerja sama dengan Zero Day Initiative dari Trend Micro

ImageIO

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses file perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2467

ImageIO

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses image perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba

Deskripsi: Pembacaan di luar batas muncul pada versi LibTIFF sebelum 4.0.7. Masalah ini telah diatasi dengan memperbarui LibTIFF di ImageIO ke versi 4.0.7.

CVE-2016-3619

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2401: Lufeng Li dari Qihoo 360 Vulcan Team

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kelebihan bilangan bulat telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2440: peneliti anonim

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Kondisi pacu telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2456: lokihardt dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah use after free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2472 : Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kerusakan memori telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2473 : Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah yang disebabkan oleh banyak kondisi (off-by-one) telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2017-2474 : Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Kondisi pacu telah diatasi melalui penguncian yang lebih baik.

CVE-2017-2478 : Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

Deskripsi: Masalah kelebihan buffer telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2482 : Ian Beer dari Google Project Zero

CVE-2017-2483 : Ian Beer dari Google Project Zero

Kernel

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi dapat mengeksekusi kode arbitrer dengan hak istimewa yang lebih tinggi

Deskripsi: Masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2490: Ian Beer dari Google Project Zero, The UK's National Cyber Security Centre (NCSC)

Entri ditambahkan pada 31 Maret 2017

Papan Ketik

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer

Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Tersedia untuk: Semua model Apple Watch

Dampak: Penyerang lokal mungkin dapat mengubah izin sistem file di direktori arbitrer

Deskripsi: Masalah validasi muncul saat menangani file symlink. Masalah ini telah diatasi melalui validasi symlink yang lebih baik.

CVE-2017-2390: Omer Medan dari enSilo Ltd

libc++abi

Tersedia untuk: Semua model Apple Watch

Dampak: Melakukan demangling aplikasi C++ yang berbahaya dapat menyebabkan eksekusi kode arbitrer

Deskripsi: Masalah use after free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2441

libxslt

Tersedia untuk: Semua model Apple Watch

Dampak: Beberapa kerentanan dalam libxslt

Deskripsi: Beberapa masalah kerusakan memori telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-5029: Holger Fuhrmannek

Entri ditambahkan pada 28 Maret 2017

Keamanan

Tersedia untuk: Semua model Apple Watch

Dampak: Aplikasi mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa dasar

Deskripsi: Kelebihan buffer telah diatasi melalui pemeriksaan batas-batas yang lebih baik.

CVE-2017-2451: Alex Radocea dari Longterm Security, Inc.

Keamanan

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses sertifikat x509 perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah kerusakan memori muncul saat menguraikan sertifikat. Masalah ini telah diatasi melalui validasi input yang lebih baik.

CVE-2017-2485: Aleksandar Nikolic dari Cisco Talos

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah ketidakjelasan tipe telah diatasi melalui penanganan memori yang lebih baik.

CVE-2017-2415: Kai Kang dari Tencent's Xuanwu Lab (tencent.com)

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak yang berbahaya dapat menyebabkan tingginya pemakaian memori

Deskripsi: Masalah pemakaian memori sumber daya yang tidak terkontrol telah diatasi melalui pemrosesan regex yang lebih baik.

CVE-2016-9643: Gustavo Grieco

WebKit

Tersedia untuk: Semua model Apple Watch

Dampak: Memproses konten web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

Deskripsi: Masalah use after free (penggunaan setelah bebas) telah diatasi melalui pengelolaan memori yang lebih baik.

CVE-2017-2471: Ivan Fratric dari Google Project Zero

Penghargaan tambahan

XNU

Kami ingin berterima kasih pada Lufeng Li dari Qihoo 360 Vulcan Team atas bantuannya.

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: