Over de beveiligingsinhoud van watchOS 3.2
In dit document wordt de beveiligingsinhoud van watchOS 3.2 beschreven.
Over Apple beveiligingsupdates
Ter bescherming van zijn klanten onthult, bespreekt of bevestigt Apple geen beveiligingsproblemen totdat een onderzoek heeft plaatsgevonden en er patches of releases beschikbaar zijn. Recente releases staan vermeld op de pagina Apple beveiligingsupdates.
Raadpleeg de pagina Apple productbeveiliging voor meer informatie over beveiliging. U kunt communicatie met Apple coderen via de Apple Product Security PGP-sleutel.
Apple beveiligingsdocumenten verwijzen naar kwetsbaarheden met CVE-ID waar mogelijk.
watchOS 3.2
Audio
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd audiobestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2430: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
CVE-2017-2462: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
Carbon
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd DFONT-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een bufferoverloop bij de verwerking van lettertypebestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-2017-2379: riusksk (泉哥) van Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot een denial of service
Beschrijving: een oneindige recursie is verholpen door middel van verbeterd statusbeheer.
CVE-2017-2417: riusksk (泉哥) van Tencent Security Platform Department
CoreGraphics
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2444: Mei Wang van 360 GearTeam
CoreText
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Beschikbaar voor: alle Apple Watch-modellen
Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd tekstbericht kan leiden tot een denial of service van het programma
Beschrijving: er is een bronuitputtingsprobleem aangepakt door verbeterde invoervalidatie.
CVE-2017-2461: een anonieme onderzoeker, Isaac Archambault van IDAoADI
FontParser
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2487: riusksk (泉哥) van Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) van Tencent Security Platform Department
FontParser
Beschikbaar voor: alle Apple Watch-modellen
Impact: het parseren van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde invoervalidatie.
CVE-2017-2407: riusksk (泉哥) van Tencent Security Platform Department
FontParser
Beschikbaar voor: alle Apple Watch-modellen
Impact: een kwaadwillig vervaardigd lettertypebestand kan leiden tot het vrijgeven van procesgeheugen
Beschrijving: een probleem met het lezen buiten het bereik is verholpen door een verbeterde invoervalidatie.
CVE-2017-2439: John Villamil, Doyensec
HTTP-protocol
Beschikbaar voor: alle Apple Watch-modellen
Impact: een kwaadwillige HTTP/2-server veroorzaakt mogelijk ongedefinieerd gedrag
Beschrijving: er waren meerdere problemen in versies van nghttp2 die lager zijn dan 1.17.0. Deze zijn verholpen door nghttp2 bij te werken naar versie 1.17.0.
CVE-2017-2428
ImageIO
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) van KeenLab, Tencent
ImageIO
Beschikbaar voor: alle Apple Watch-modellen
Impact: het bekijken van een kwaadwillig vervaardigd JPEG-bestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2432: een anonieme onderzoeker in samenwerking met het Zero Day Initiative van Trend Micro
ImageIO
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd bestand kan leiden tot het onverwacht beëindigen van het programma of het uitvoeren van willekeurige code
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2467
ImageIO
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigde afbeelding kan leiden tot het onverwacht beëindigen van het programma
Beschrijving: er was een probleem met lezen buiten het bereik in LibTIFF-versies lager dan 4.0.7. Dit probleem is verholpen door LibTIFF in ImageIO bij te werken naar versie 4.0.7.
CVE-2016-3619
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2401: Lufeng Li van Qihoo 360 Vulcan Team
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met een overloop van gehele getallen is verholpen door een verbeterde invoervalidatie.
CVE-2017-2440: een anonieme onderzoeker
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: een racevoorwaarde is verholpen door verbeterde geheugenverwerking.
CVE-2017-2456: lokihardt van Google Project Zero
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2017-2472: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een schadelijk programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde invoervalidatie.
CVE-2017-2473: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem 'off-by-one' is verholpen door een verbeterde controle van de grenzen.
CVE-2017-2474: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een raceconditie is verholpen via verbeterde vergrendeling.
CVE-2017-2478: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: een probleem met bufferoverloop is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2482: Ian Beer van Google Project Zero
CVE-2017-2483: Ian Beer van Google Project Zero
Kernel
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met verhoogde bevoegdheden
Beschrijving: een probleem met geheugenbeschadiging is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2490: Ian Beer van Google Project Zero, het National Cyber Security Centre (NCSC) van het Verenigd Koninkrijk
Toetsenborden
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Beschikbaar voor: alle Apple Watch-modellen
Impact: een lokale aanvaller kan de bestandssysteembevoegdheden voor willekeurige adreslijsten wijzigen
Beschrijving: er was een validatieprobleem bij de verwerking van symlinks. Dit probleem is verholpen door een verbeterde validatie van symlinks.
CVE-2017-2390: Omer Medan van enSilo Ltd
libc++abi
Beschikbaar voor: alle Apple Watch-modellen
Impact: het herstellen van een kwaadwillig C++-programma kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2017-2441
libxslt
Beschikbaar voor: alle Apple Watch-modellen
Impact: meerdere kwetsbaarheden in libxslt
Beschrijving: meerdere problemen met geheugenbeschadiging zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-5029: Holger Fuhrmannek
Beveiliging
Beschikbaar voor: alle Apple Watch-modellen
Impact: een programma kan willekeurige code uitvoeren met rootbevoegdheden
Beschrijving: een bufferoverloop is verholpen door verbeterde controle van de grenzen.
CVE-2017-2451: Alex Radocea van Longterm Security, Inc.
Beveiliging
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van een kwaadwillig vervaardigd x509-certificaat kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij het parseren van certificaten. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-2017-2485: Aleksandar Nikolic van Cisco Talos
WebKit
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een probleem met verwarring van het type is verholpen door een verbeterde verwerking van het geheugen.
CVE-2017-2415: Kai Kang van het Xuanwu Lab van Tencent (tencent.com)
WebKit
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot hoog geheugenverbruik
Beschrijving: een probleem met onbeheerd bronverbruik is opgelost door verbeterde regex-verwerking.
CVE-2016-9643: Gustavo Grieco
WebKit
Beschikbaar voor: alle Apple Watch-modellen
Impact: het verwerken van kwaadwillig vervaardigde webinhoud kan leiden tot het uitvoeren van willekeurige code
Beschrijving: een use-after-free-probleem is verholpen door een verbeterd beheer van het geheugen.
CVE-2017-2471: Ivan Fratric van Google Project Zero
Aanvullende erkenning
XNU
Met dank aan Lufeng Li van Qihoo 360 Vulcan Team voor zijn hulp.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.