Om sikkerhetsinnholdet i watchOS 3.2
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 3.2.
Om sikkerhetsoppdateringer fra Apple
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Nylige utgivelser er oppført på siden for Sikkerhetsoppdateringer fra Apple.
For mer informasjon om sikkerhet kan du gå til siden for Apple Produktsikkerhet. Du kan kryptere kommunikasjon med Apple ved å bruke PGP-nøkkelen for Apple Produktsikkerhet.
Apple-sikkerhetsdokumenter refererer til sårbarheter etter CVE-ID når det er mulig.
watchOS 3.2
Lyd
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig lydfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2430: en anonym forsker som arbeider med Trend Micros Zero Day Initiative
CVE-2017-2462: en anonym forsker som arbeider med Trend Micros Zero Day Initiative
Carbon
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig .dfont-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Det var en bufferoverflyt i håndteringen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.
CVE-2017-2379: riusksk (泉哥) fra Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av et skadelig bilde kan føre til tjenestenekt
Beskrivelse: En uendelig rekursjon ble løst gjennom forbedret tilstandshåndtering.
CVE-2017-2417: riusksk (泉哥) fra Tencent Security Platform Department
CoreGraphics
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2444: Mei Wang fra 360 GearTeam
CoreText
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig tekstfil kan føre til tjenestenekt for et program
Beskrivelse: Et problem med tømming av ressurser ble løst gjennom forbedret validering av inndata.
CVE-2017-2461: en anonym forsker, Isaac Archambault fra IDAoADI
FontParser
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2487: riusksk (泉哥) fra Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Parsing av en skadelig fontfil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2407: riusksk (泉哥) fra Tencent Security Platform Department
FontParser
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig font kan føre til at prosessminne avsløres
Beskrivelse: Et problem med lesing utenfor området ble løst gjennom forbedret validering av inndata.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En skadelig HTTP/2-tjener kan være i stand til å forårsake udefinert atferd
Beskrivelse: Det var flere problemer i nghttp2 før 1.17.0. Disse ble løst ved å oppdatere nghttp2 til versjon 1.17.0.
CVE-2017-2428
ImageIO
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av et skadelig bilde kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) fra KeenLab, Tencent
ImageIO
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Visning av en skadelig JPEG-fil kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2432: en anonym forsker som jobber med Trend Micros Zero Day Initiative
ImageIO
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av en skadelig fil kan føre til uventet avslutning av et program eller utføring av vilkårlig kode
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2467
ImageIO
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av et skadelig bilde kan føre til uventet avslutning av et program
Beskrivelse: Det var et problem med lesing utenfor området i LibTIFF-versjoner før 4.0.7. Dette ble løst ved å oppdatere LibTIFF i ImageIO til versjon 4.0.7.
CVE-2016-3619
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2401: Lufeng Li fra Qihoo 360 Vulcan Team
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med heltallsoverflyt ble løst gjennom forbedret validering av inndata.
CVE-2017-2440: en anonym forsker
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med rotrettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret minnehåndtering.
CVE-2017-2456: lokihardt fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2472: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret validering av inndata.
CVE-2017-2473: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med forskyvning på én ble løst gjennom forbedret grensekontroll.
CVE-2017-2474: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: En kappløpssituasjon ble løst gjennom forbedret låsing.
CVE-2017-2478: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med kjernerettigheter
Beskrivelse: Et problem med bufferoverflyt ble løst gjennom forbedret minnehåndtering.
CVE-2017-2482: Ian Beer fra Google Project Zero
CVE-2017-2483: Ian Beer fra Google Project Zero
Kjerne
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan kanskje utføre vilkårlig kode med utvidede rettigheter
Beskrivelse: Et problem med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-2490: Ian Beer fra Google Project Zero, Storbritannias National Cyber Security Centre (NCSC)
Tastaturer
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å utføre vilkårlig kode
Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Tilgjengelig for: alle Apple Watch-modeller
Virkning: En lokal angriper kan være i stand til å endre filsystemrettigheter for vilkårlige kataloger
Beskrivelse: Det var et valideringsproblem i håndteringen av symlinks. Problemet ble løst gjennom forbedret validering av symlinks.
CVE-2017-2390: Omer Medan fra enSilo Ltd
libc++abi
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Utpakking av et skadelig C++-program kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2441
libxslt
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Flere sårbarheter i libxslt
Beskrivelse: Flere problemer med skadet minne ble løst gjennom forbedret minnehåndtering.
CVE-2017-5029: Holger Fuhrmannek
Sikkerhet
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Et program kan være i stand til å utføre vilkårlig kode med rotrettigheter
Beskrivelse: Bufferoverflyt ble løst gjennom forbedret grensekontroll.
CVE-2017-2451: Alex Radocea fra Longterm Security, Inc.
Sikkerhet
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av et skadelig x509-sertifikat kan føre til utføring av vilkårlig kode
Beskrivelse: Det var et problem med skadet minne i parsingen av sertifikater. Problemet ble løst gjennom forbedret validering av inndata.
CVE-2017-2485: Aleksandar Nikolic fra Cisco Talos
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med typeforveksling ble løst gjennom forbedret minnehåndtering.
CVE-2017-2415: Kai Kang fra Tencents Xuanwu Lab (tentcent.com)
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til høyt minnebruk
Beskrivelse: Et problem med ukontrollert ressursbruk ble løst gjennom forbedret behandling av regex-uttrykk.
CVE-2016-9643: Gustavo Grieco
WebKit
Tilgjengelig for: alle Apple Watch-modeller
Virkning: Behandling av skadelig nettinnhold kan føre til utføring av vilkårlig kode
Beskrivelse: Et problem med fortsatt bruk etter frigjøring ble løst gjennom forbedret minnehåndtering.
CVE-2017-2471: Ivan Fratric fra Google Project Zero
Ytterligere anerkjennelse
XNU
Vi vil gjerne takke Lufeng Li fra Qihoo 360 Vulcan Team for deres bistand.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.