Zawartość związana z zabezpieczeniami w systemie watchOS 2.2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 2.2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

watchOS 2.2

  • Obrazy dysków

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1717: Frank Graziano z Yahoo! Pentest Team

  • FontParser

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: otwarcie złośliwie spreparowanego pliku PDF może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist i r3dsm0k3) w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro

  • Protokół HTTP

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: zdalny atakujący może być w stanie wykonać dowolny kod.

    Opis: w pakiecie nghttp2 w wersjach starszych niż 1.6.0 występowały liczne luki w zabezpieczeniach, z których najpoważniejsza mogła spowodować wykonanie zdalnego kodu. Te problemy rozwiązano przez uaktualnienie pakietu nghttp2 do wersji 1.6.0.

    Identyfikator CVE

    CVE-2015-8659

  • IOHIDFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.

    Identyfikator CVE

    CVE-2016-1719: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie określić rozkład pamięci jądra.

    Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1748: Brandon Azad

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.

    Identyfikator CVE

    CVE-2016-1720: Ian Beer z Google Project Zero

    CVE-2016-1721: Ian Beer z Google Project Zero i Ju Zhu z Trend Micro

    CVE-2016-1754: Lufeng Li z Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer z Google Project Zero

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: usunięto błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

    Identyfikator CVE

    CVE-2016-1750: CESG

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: rozwiązano wiele błędów przepełnienia całkowitoliczbowego przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1753: Juwei Lin z Trend Micro w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.

    Opis: występował błąd uprawnień powodujący niepoprawne przyznawanie uprawnień do wykonywania. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności uprawnień.

    Identyfikator CVE

    CVE-2016-1751: Eric Monti ze Square Mobile Security

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

    Opis: rozwiązano problem z podatnością na atak DoS przez poprawienie procedury sprawdzania poprawności.

    Identyfikator CVE

    CVE-2016-1752: CESG

  • libxml2

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.

    Identyfikator CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale z Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany z Google

    CVE-2015-7942: Kostya Serebryany z Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro

    CVE-2016-1762

  • libxslt

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: usunięto błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-7995: puzzor 

  • Wiadomości

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: osoba atakująca potrafiąca obejść przypinanie certyfikatów, przechwytywać połączenia TLS, wstawiać wiadomości i rejestrować zaszyfrowane wiadomości attachment-type może być w stanie odczytywać załączniki.

    Opis: rozwiązano problem kryptograficzny przez odrzucanie powielonych wiadomości na kliencie.

    Identyfikator CVE

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers i Michael Rushanan z Johns Hopkins University

  • Zabezpieczenia

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu.

    Opis: w dekoderze ASN.1 występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1950: Francis Gabriel z Quarkslab

  • syslog

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: rozwiązano problem powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2016-1722: Joshua J. Drake i Nikias Bassen z Zimperium zLabs

  • TrueTypeScaler

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2016-1775: 0x1byte w ramach programu Zero Day Initiative (ZDI) firmy Trend Micro

  • WebKit

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanej zawartości WWW może spowodować wykonanie dowolnego kodu.

    Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących powodować uszkodzenie zawartości pamięci.

    Identyfikator CVE

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • Wi-Fi

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może być w stanie wykonać dowolny kod.

    Opis: w danej ramce ethertype występował błąd walidacji ramki i błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez dodatkową walidację ramki ethertype i poprawienie procedury obsługi adresów URL.

    Identyfikator CVE

    CVE-2016-0801: anonimowy badacz

    CVE-2016-0802: anonimowy badacz

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: