Over de beveiligingsinhoud van watchOS 3.2

In dit document wordt de beveiligingsinhoud van watchOS 3.2 beschreven.

Over Apple beveiligingsupdates

Ter bescherming van zijn klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat een onderzoek heeft plaatsgevonden en er patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.

Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.

Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.

watchOS 3.2

Releasedatum: 27 maart 2017

Audio

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2430: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

CVE-2017-2462: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

Carbon

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

CVE-2017-2379: riusksk (泉哥) van Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service

Beschrijving: een oneindige recursie is verholpen door middel van verbeterd statusbeheer.

CVE-2017-2417: riusksk (泉哥) van Tencent Security Platform Department

CoreGraphics

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2444: Mei Wang van 360 GearTeam

CoreText

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Beschikbaar voor: alle Apple Watch-modellen

Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd tekstbericht kan leiden tot een denial of service van het programma

Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.

CVE-2017-2461: een anonieme onderzoeker, Isaac Archambault van IDAoADI

FontParser

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2487: riusksk (泉哥) van Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) van Tencent Security Platform Department

FontParser

Beschikbaar voor: alle Apple Watch-modellen

Impact: het parseren van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.

CVE-2017-2407: riusksk (泉哥) van Tencent Security Platform Department

FontParser

Beschikbaar voor: alle Apple Watch-modellen

Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen

Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.

CVE-2017-2439: John Villamil, Doyensec

HTTP-protocol

Beschikbaar voor: alle Apple Watch-modellen

Impact: een kwaadwillige HTTP/2-server veroorzaakt mogelijk ongedefinieerd gedrag

Beschrijving: er waren meerdere problemen in versies van nghttp2 die lager zijn dan 1.17.0. Deze zijn verholpen door nghttp2 bij te werken naar versie 1.17.0.

CVE-2017-2428

Bijgewerkt op 28 maart 2017

ImageIO

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) van KeenLab, Tencent

ImageIO

Beschikbaar voor: alle Apple Watch-modellen

Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2432: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro

ImageIO

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2467

ImageIO

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma

Beschrijving: er was een probleem met lezen buiten het bereik in LibTIFF-versies lager dan 4.0.7. Dit probleem is verholpen door LibTIFF in ImageIO bij te werken naar versie 4.0.7.

CVE-2016-3619

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2401: Lufeng Li van Qihoo 360 Vulcan Team

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met een overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.

CVE-2017-2440: een anonieme onderzoeker

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden

Beschrijving: een racevoorwaarde is verholpen door verbeterde geheugenverwerking.

CVE-2017-2456: lokihardt van Google Project Zero

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2472: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.

CVE-2017-2473: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem 'off-by-one' is verholpen door een verbeterde controle van de grenzen.

CVE-2017-2474: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een raceconditie is verholpen via verbeterde vergrendeling.

CVE-2017-2478: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden

Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2482: Ian Beer van Google Project Zero

CVE-2017-2483: Ian Beer van Google Project Zero

Kernel

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden

Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2490: Ian Beer van Google Project Zero, het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk

Toegevoegd op 31 maart 2017

Toetsenborden

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Beschikbaar voor: alle Apple Watch-modellen

Impact: een lokale aanvaller kan de bestandssysteembevoegdheden voor willekeurige adreslijsten wijzigen

Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.

CVE-2017-2390: Omer Medan van enSilo Ltd

libc++abi

Beschikbaar voor: alle Apple Watch-modellen

Impact: het herstellen van een kwaadwillig C++-programma kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2441

libxslt

Beschikbaar voor: alle Apple Watch-modellen

Impact: meerdere kwetsbaarheden in libxslt

Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-5029: Holger Fuhrmannek

Toegevoegd op 28 maart 2017

Beveiliging

Beschikbaar voor: alle Apple Watch-modellen

Impact: een programma kan willekeurige code uitvoeren met rootbevoegdheden

Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.

CVE-2017-2451: Alex Radocea van Longterm Security, Inc.

Beveiliging

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van een kwaadwillig vervaardigd x509-certificaat kan leiden tot het uitvoeren van willekeurige code

Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van certificaten. Dit probleem is verholpen door een verbeterde invoervalidatie.

CVE-2017-2485: Aleksandar Nikolic van Cisco Talos

WebKit

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.

CVE-2017-2415: Kai Kang van het Xuanwu Lab van Tencent (tencent.com)

WebKit

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot hoog geheugenverbruik

Beschrijving: een probleem met onbeheerd bronverbruik is opgelost door verbeterde regex-verwerking.

CVE-2016-9643: Gustavo Grieco

WebKit

Beschikbaar voor: alle Apple Watch-modellen

Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code

Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.

CVE-2017-2471: Ivan Fratric van Google Project Zero

Aanvullende erkenning

XNU

Met dank aan Lufeng Li van Qihoo 360 Vulcan Team voor zijn hulp.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: