Zawartość związana z zabezpieczeniami w systemie watchOS 2.2
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 2.2.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
watchOS 2.2
Obrazy dysków
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2016-1717: Frank Graziano z Yahoo! Pentest Team
FontParser
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1740: HappilyCoded (ant4g0nist i r3dsm0k3) w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro
Protokół HTTP
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: zdalny atakujący może być w stanie wykonać dowolny kod.
Opis: w pakiecie nghttp2 w wersjach starszych niż 1.6.0 występowały liczne luki w zabezpieczeniach, z których najpoważniejsza mogła spowodować wykonanie zdalnego kodu. Te problemy rozwiązano przez uaktualnienie pakietu nghttp2 do wersji 1.6.0.
Identyfikator CVE
CVE-2015-8659
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
Identyfikator CVE
CVE-2016-1719: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1748: Brandon Azad
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
Identyfikator CVE
CVE-2016-1720: Ian Beer z Google Project Zero
CVE-2016-1721: Ian Beer z Google Project Zero i Ju Zhu z Trend Micro
CVE-2016-1754: Lufeng Li z Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer z Google Project Zero
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
Identyfikator CVE
CVE-2016-1750: CESG
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: rozwiązano wiele błędów przepełnienia całkowitoliczbowego przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2016-1753: Juwei Lin z Trend Micro w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.
Opis: występował błąd uprawnień powodujący niepoprawne przyznawanie uprawnień do wykonywania. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności uprawnień.
Identyfikator CVE
CVE-2016-1751: Eric Monti ze Square Mobile Security
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: rozwiązano problem z podatnością na atak DoS przez poprawienie procedury sprawdzania poprawności.
Identyfikator CVE
CVE-2016-1752: CESG
libxml2
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
Identyfikator CVE
CVE-2015-1819
CVE-2015-5312: David Drysdale z Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany z Google
CVE-2015-7942: Kostya Serebryany z Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro
CVE-2016-1762
libxslt
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2015-7995: puzzor
Wiadomości
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: osoba atakująca potrafiąca obejść przypinanie certyfikatów, przechwytywać połączenia TLS, wstawiać wiadomości i rejestrować zaszyfrowane wiadomości attachment-type może być w stanie odczytywać załączniki.
Opis: rozwiązano problem kryptograficzny przez odrzucanie powielonych wiadomości na kliencie.
Identyfikator CVE
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers i Michael Rushanan z Johns Hopkins University
Zabezpieczenia
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu.
Opis: w dekoderze ASN.1 występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2016-1950: Francis Gabriel z Quarkslab
syslog
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1722: Joshua J. Drake i Nikias Bassen z Zimperium zLabs
TrueTypeScaler
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2016-1775: 0x1byte w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro
WebKit
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.
Identyfikator CVE
CVE-2016-1723: Apple
CVE-2016-1724: Apple
CVE-2016-1725: Apple
CVE-2016-1726: Apple
CVE-2016-1727: Apple
Wi-Fi
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.
Opis: w danej ramce ethertype występował błąd walidacji ramki i błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez dodatkową walidację ramki ethertype i poprawienie procedury obsługi adresów URL.
Identyfikator CVE
CVE-2016-0801: anonimowy badacz
CVE-2016-0802: anonimowy badacz
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.