W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
watchOS 2.2.1
CommonCrypto
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwa aplikacja może być w stanie ujawnić poufne informacje użytkownika.
Opis: procedury obsługi wartości zwracanych w bibliotece CCCrypt zawierały błąd. Ten błąd naprawiono przez poprawienie procedur zarządzania długością klucza.
Identyfikator CVE
CVE-2016-1802: Klaus Rodewig
CoreCapture
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1803: Ian Beer z Google Project Zero, użytkownik daybreaker w ramach programu Zero Day Initiative firmy Trend Micro
Obrazy dysków
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.
Opis: rozwiązano sytuację wyścigu przez ulepszenie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1807: Ian Beer z Google Project Zero
Obrazy dysków
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w procedurze analizowania obrazów dysków występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2016-1808: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro
ImageIO
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu mogło doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1811: Lander Brandt (@landaire)
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1817: Moony Li (@Flyic) i Jack Tang (@jacktang310) z Trend Micro w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2016-1818: Juwei Lin z TrendMicro, sweetchip@GRAYHASH w ramach programu Zero Day Initiative firmy Trend Micro
Wpis uaktualniono 13 grudnia 2016 r.
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
Identyfikator CVE
CVE-2016-1819: Ian Beer z Google Project Zero
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji.
Identyfikator CVE
CVE-2016-1813: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1823: Ian Beer z zespołu Project Zero firmy Google
CVE-2016-1824: Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1827: Brandon Azad
CVE-2016-1828: Brandon Azad
CVE-2016-1829: CESG
CVE-2016-1830: Brandon Azad
Biblioteka libc
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: lokalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2016-1832: Karl Williamson
libxml2
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1833: Mateusz Jurczyk
CVE-2016-1834: Apple
CVE-2016-1836: Wei Lei i Liu Yang z uczelni Nanyang Technological University
CVE-2016-1837: Wei Lei i Liu Yang z Nanyang Technological University
CVE-2016-1838: Mateusz Jurczyk
CVE-2016-1839: Mateusz Jurczyk
CVE-2016-1840: Kostya Serebryany
libxslt
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1841: Sebastian Apelt
MapKit
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: osoba atakująca mająca uprzywilejowany dostęp do sieci może ujawnić poufne informacje użytkownika.
Opis: udostępnione łącza były wysyłane za pomocą protokołu HTTP zamiast HTTPS. Ten błąd naprawiono przez włączenie protokołu HTTPS dla udostępnionych łączy.
Identyfikator CVE
CVE-2016-1842: Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej mogło spowodować wykonanie dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2016-1847: Tongbo Luo i Bo Qu z Palo Alto Networks