Zawartość związana z zabezpieczeniami w systemie watchOS 3.2.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 3.2.3.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

watchOS 3.2.3

Kontakty

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-7062: Shashank (@cyberboyIndia)

IOUSBFamily

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7009: shrek_wzw z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7022: anonimowy badacz

CVE-2017-7024: anonimowy badacz

CVE-2017-7026: anonimowy badacz

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7023: anonimowy badacz

CVE-2017-7025: anonimowy badacz

CVE-2017-7027: anonimowy badacz

CVE-2017-7069: Proteas z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7028: anonimowy badacz

CVE-2017-7029: anonimowy badacz

libarchive

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7068: odnalezione przez OSS-Fuzz

libxml2

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-7013: odnalezione przez OSS-Fuzz

libxpc

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7047: Ian Beer z Google Project Zero

Wiadomości

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7063: Shashank (@cyberboyIndia)

Wi-Fi

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: osoba atakująca będąca w zasięgu może być w stanie wykonać dowolny kod w mikroukładzie Wi-Fi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-9417: Nitay Artenstein z Exodus Intelligence