Zawartość związana z zabezpieczeniami w systemie watchOS 2.2.2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 2.2.2.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 2.2.2
CoreGraphics
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4637: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4632: Evgeny Sidorov z Yandex
ImageIO
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4631: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)
ImageIO
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-7705: Craig Young z Tripwire VERT
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
CVE-2016-4627: Ju Zhu z Trend Micro
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-4628: Ju Zhu z Trend Micro
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4626: Stefan Esser z SektionEins
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-4650: Peter Pi z Trend Micro w ramach programu Zero Day Initiative firmy HP
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-1863: Ian Beer z zespołu Project Zero firmy Google
CVE-2016-4653: Ju Zhu z Trend Micro
CVE-2016-4582: Shrek_wzw i Proteas z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-1865: CESG, Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent
Biblioteka Libc
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w funkcji „link_ntoa()” w linkaddr.c występował błąd przepełnienia buforu. Ten błąd naprawiono przez wprowadzenie dodatkowego mechanizmu sprawdzania ograniczeń.
CVE-2016-6559: Apple
libxml2
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxml2.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2015-8317 : Hanno Boeck
CVE-2016-1836: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-4447: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-4448: Apple
CVE-2016-4483: Gustavo Grieco
CVE-2016-4614: Nick Wellnhofer
CVE-2016-4615: Nick Wellnhofer
CVE-2016-4616: Michael Paddon
libxml2
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: w procedurze analizowania złośliwie spreparowanych plików XML występował błąd dostępu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2016-4449: Kostya Serebryany
libxslt
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-1683: Nicolas Grégoire
CVE-2016-1684: Nicolas Grégoire
CVE-2016-4607: Nick Wellnhofer
CVE-2016-4608: Nicolas Grégoire
CVE-2016-4609: Nick Wellnhofer
CVE-2016-4610: Nick Wellnhofer
Profile piaskownicy
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès
Zagrożenie: aplikacja lokalna może uzyskać dostęp do listy procesów.
Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.
CVE-2016-4594: Stefan Esser z SektionEins
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.