Om sikkerhetsinnholdet i watchOS 3.1.3
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 3.1.3.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
watchOS 3.1.3
Kontoer
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Avinstallering av en app tilbakestilte ikke autorisasjonsinnstillingene
Beskrivelse: Det var et problem som ikke tilbakestilte autorisasjonsinnstillingene for avinstallering av apper. Problemet ble løst gjennom forbedret rensing.
CVE-2016-7651: Ju Zhu og Lilang Wu fra Trend Micro
APNS-server
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Et klientsertifikat ble sendt som vanlig tekst. Problemet ble løst gjennom forbedret sertifikathåndtering.
CVE-2017-2383: Matthias Wachs og Quirin Scheitle fra Technical University Munich (TUM)
Lyd
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-7658: Haohao Kong fra Keen Lab (@keen_lab) hos Tencent
CVE-2016-7659: Haohao Kong fra Keen Lab (@keen_lab) hos Tencent
CoreFoundation
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelige strenger kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i behandlingen av strenger. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2016-7663: En anonym forsker
CoreGraphics
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av programmer
Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.
CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM
CoreMedia Playback
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig .mp4-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-7588: dragonltx fra Huawei 2012 Laboratories
CoreText
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med skadet minne under håndteringen av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-2016-7595: riusksk(泉哥) fra Tencent Security Platform Department
Diskfiler
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-7616: daybreaker@Minionz arbeider med Trend Micros Zero Day Initiative
FontParser
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var flere problemer med skadet minne under håndteringen av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-2016-4691: riusksk(泉哥) fra Tencent Security Platform Department
FontParser
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2016-4688: Simon Huang fra Alipay company, thelongestusernameofall@gmail.com
ICU
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-7594: André Bargull
ImageIO
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En ekstern angriper kan være i stand til å lekke minne
Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.
CVE-2016-7643: Yangkang (@dnpushme) fra Qihoo360 Qex Team
IOHIDFamily
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et lokalt program med systemrettigheter kan være i stand til å utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2016-7591: daybreaker fra Minionz
IOKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å lese kjerneminnet
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-7657: Keen Lab arbeider med Trend Micros Zero Day Initiative
IOKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal bruker kan være i stand til å bestemme oppsett av kjerneminne
Beskrivelse: Et problem med delt minne ble løst gjennom forbedret minnehåndtering.
CVE-2016-7714: Qidan He (@flanker_hqd) fra KeenLab arbeider med Trend Micros Zero Day Initiative
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-7606: Chen Qin fra Topsec Alpha Team (topsec.com), @cocoahuke
CVE-2016-7612: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å lese kjerneminnet
Beskrivelse: Et problem med utilstrekkelig initialisering ble løst gjennom ordentlig initialisering av minne omgjort til brukerplass.
CVE-2016-7607: Brandon Azad
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet
Beskrivelse: Et problem med nekting av tjeneste ble løst gjennom forbedret minnehåndtering.
CVE-2016-7615: National Cyber Security Centre (NCSC) i Storbritannia
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2016-7621: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal bruker kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2016-7637: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et lokalt program med systemrettigheter kan være i stand til å utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2016-7644: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan forårsake tjenestenekt
Beskrivelse: Et problem med nekting av tjeneste ble løst gjennom forbedret minnehåndtering.
CVE-2016-7647: Lufeng Li fra Qihoo 360 Vulcan Team
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2017-2370: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2360: Ian Beer fra Google Project Zero
libarchive
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal angriper kan være i stand til å overskrive eksisterende filer
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.
CVE-2016-7619: En anonym forsker
libarchive
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2016-8687: Agostino Sarubbo fra Gentoo
Profiler
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Åpning av et skadelig sertifikat kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i håndteringen av sertifikatprofiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2016-7626: Maksymilian Arciemowicz (CXSECURITY.COM)
Sikkerhet
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En angriper kan være i stand til å utnytte svakheter i den kryptografiske 3DES-algoritmen
Beskrivelse: 3DES ble fjernet som standard chiffer.
CVE-2016-4693: Gaëtan Leurent og Karthikeyan Bhargavan fra INRIA Paris
Sikkerhet
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt
Beskrivelse: Det var et valideringsproblem i håndteringen av OCSP-svarnettadresser. Problemet ble løst gjennom verifisering av OCSP-inndragelsesstatus etter CA-validering og begrensning av antall OCSP-forespørsler per sertifikat.
CVE-2016-7636: Maksymilian Arciemowicz (CXSECURITY.COM)
Sikkerhet
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Sertifikater kan uventet evalueres som godkjent
Beskrivelse: Det var et problem med evaluering av sertifikater i sertifikatvalideringen. Problemet ble løst gjennom ekstra kontroll av sertifikater.
CVE-2016-7662: Apple
syslog
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal bruker kan være i stand til å få rotrettigheter
Beskrivelse: Et problem med referanser til mach-portnavn ble løst gjennom forbedret validering.
CVE-2016-7660: Ian Beer fra Google Project Zero
Lås opp med iPhone
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Apple Watch kan låses opp når den ikke er på brukerens håndledd
Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2352: Ashley Fernandez fra raptAware Pty Ltd
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.
CVE-2016-7589: Apple
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav
Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.
CVE-2017-2363: lokihardt fra Google Project Zero
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.