Om sikkerhetsinnholdet i watchOS 3.1.3

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 3.1.3.

Om sikkerhetsoppdateringer fra Apple

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.

For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.

Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.

watchOS 3.1.3

Utgitt 23. januar 2017

Kontoer

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Avinstallering av en app tilbakestilte ikke autorisasjonsinnstillingene

Beskrivelse: Det var et problem som ikke tilbakestilte autorisasjonsinnstillingene for avinstallering av apper. Problemet ble løst gjennom forbedret rensing.

CVE-2016-7651: Ju Zhu og Lilang Wu fra Trend Micro

APNS-server

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet

Beskrivelse: Et klientsertifikat ble sendt som vanlig tekst. Problemet ble løst gjennom forbedret sertifikathåndtering.

CVE-2017-2383: Matthias Wachs og Quirin Scheitle fra Technical University Munich (TUM)

Oppføring lagt til 28. mars 2017

Lyd

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av en skadelig fil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-7658: Haohao Kong fra Keen Lab (@keen_lab) hos Tencent

CVE-2016-7659: Haohao Kong fra Keen Lab (@keen_lab) hos Tencent

CoreFoundation

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av skadelige strenger kan føre til uventet avslutning av et program eller utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i behandlingen av strenger. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2016-7663: En anonym forsker

CoreGraphics

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av en skadelig fontfil kan føre til uventet avslutning av programmer

Beskrivelse: En dereferanse for en nullpeker ble løst gjennom forbedret validering av inndata.

CVE-2016-7627: TRAPMINE Inc. & Meysam Firouzi @R00tkitSMM

CoreMedia Playback

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av en skadelig .mp4-fil kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-7588: dragonltx fra Huawei 2012 Laboratories

CoreText

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var flere problemer med skadet minne under håndteringen av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.

CVE-2016-7595: riusksk(泉哥) fra Tencent Security Platform Department

Diskfiler

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-7616: daybreaker@Minionz arbeider med Trend Micros Zero Day Initiative

FontParser

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var flere problemer med skadet minne under håndteringen av fontfiler. Problemene ble løst gjennom forbedret grensekontroll.

CVE-2016-4691: riusksk(泉哥) fra Tencent Security Platform Department

FontParser

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

CVE-2016-4688: Simon Huang fra Alipay company, thelongestusernameofall@gmail.com

ICU

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-7594: André Bargull

ImageIO

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En ekstern angriper kan være i stand til å lekke minne

Beskrivelse: Et problem med lesing utenfor grensene ble løst gjennom forbedret grensekontroll.

CVE-2016-7643: Yangkang (@dnpushme) fra Qihoo360 Qex Team

IOHIDFamily

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et lokalt program med systemrettigheter kan være i stand til å utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2016-7591: daybreaker fra Minionz

IOKit

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan være i stand til å lese kjerneminnet

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-7657: Keen Lab arbeider med Trend Micros Zero Day Initiative

IOKit

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En lokal bruker kan være i stand til å bestemme oppsett av kjerneminne

Beskrivelse: Et problem med delt minne ble løst gjennom forbedret minnehåndtering.

CVE-2016-7714: Qidan He (@flanker_hqd) fra KeenLab arbeider med Trend Micros Zero Day Initiative

Oppføring lagt til 25. januar 2017

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-7606: Chen Qin fra Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan være i stand til å lese kjerneminnet

Beskrivelse: Et problem med utilstrekkelig initialisering ble løst gjennom ordentlig initialisering av minne omgjort til brukerplass.

CVE-2016-7607: Brandon Azad

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En lokal bruker kan være i stand til å forårsake tjenestenekt i systemet

Beskrivelse: Et problem med nekting av tjeneste ble løst gjennom forbedret minnehåndtering.

CVE-2016-7615: National Cyber Security Centre (NCSC) i Storbritannia

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En lokal bruker kan forårsake at et system avsluttes uventet eller at vilkårlig kode utføres i kjernen

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2016-7621: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En lokal bruker kan være i stand til å få rotrettigheter

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.

CVE-2016-7637: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et lokalt program med systemrettigheter kan være i stand til å utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2016-7644: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan forårsake tjenestenekt

Beskrivelse: Et problem med nekting av tjeneste ble løst gjennom forbedret minnehåndtering.

CVE-2016-7647: Lufeng Li fra Qihoo 360 Vulcan Team

Oppføring lagt til 17. mai 2017

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2017-2370: Ian Beer fra Google Project Zero

Kjerne

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Et program kan utføre vilkårlig kode med kjernerettigheter

Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.

CVE-2017-2360: Ian Beer fra Google Project Zero

libarchive

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En lokal angriper kan være i stand til å overskrive eksisterende filer

Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.

CVE-2016-7619: En anonym forsker

libarchive

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Utpakking av et skadelig arkiv kan føre til at vilkårlig kode utføres

Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.

CVE-2016-8687: Agostino Sarubbo fra Gentoo

Profiler

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Åpning av et skadelig sertifikat kan føre til utføring av vilkårlig kode

Beskrivelse: Det var et problem med skadet minne i håndteringen av sertifikatprofiler. Problemet ble løst gjennom forbedret validering av inndata.

CVE-2016-7626: Maksymilian Arciemowicz (CXSECURITY.COM)

Sikkerhet

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En angriper kan være i stand til å utnytte svakheter i den kryptografiske 3DES-algoritmen

Beskrivelse: 3DES ble fjernet som standard chiffer.

CVE-2016-4693: Gaëtan Leurent og Karthikeyan Bhargavan fra INRIA Paris

Sikkerhet

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt

Beskrivelse: Det var et valideringsproblem i håndteringen av OCSP-svarnettadresser. Problemet ble løst gjennom verifisering av OCSP-inndragelsesstatus etter CA-validering og begrensning av antall OCSP-forespørsler per sertifikat.

CVE-2016-7636: Maksymilian Arciemowicz (CXSECURITY.COM)

Sikkerhet

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Sertifikater kan uventet evalueres som godkjent

Beskrivelse: Det var et problem med evaluering av sertifikater i sertifikatvalideringen. Problemet ble løst gjennom ekstra kontroll av sertifikater.

CVE-2016-7662: Apple

syslog

Tilgjengelig for: alle Apple Watch-modeller

Virkning: En lokal bruker kan være i stand til å få rotrettigheter

Beskrivelse: Et problem med referanser til mach-portnavn ble løst gjennom forbedret validering.

CVE-2016-7660: Ian Beer fra Google Project Zero

Lås opp med iPhone

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Apple Watch kan låses opp når den ikke er på brukerens håndledd

Beskrivelse: Et logisk problem ble løst gjennom forbedret tilstandshåndtering.

CVE-2017-2352: Ashley Fernandez fra raptAware Pty Ltd

Oppføring oppdatert 25. januar 2017

WebKit

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode

Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret tilstandshåndtering.

CVE-2016-7589: Apple

WebKit

Tilgjengelig for: alle Apple Watch-modeller

Virkning: Behandling av skadelig nettinnhold kan eksfiltrere data på tvers av opphav

Beskrivelse: Det var flere valideringsproblemer i håndteringen av innlasting av sider. Problemet ble løst gjennom forbedret logisk håndtering.

CVE-2017-2363: lokihardt fra Google Project Zero

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: