Zawartość związana z zabezpieczeniami w systemie watchOS 2.2.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 2.2.2.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

watchOS 2.2.2

Wydano 18 lipca 2016 r.

CoreGraphics

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4637: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4632: Evgeny Sidorov z Yandex

ImageIO

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: osoba atakująca zdalnie może być w stanie wykonać dowolny kod.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4631: Tyler Bohan z Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7705: Craig Young z Tripwire VERT

Wpis dodano 30 listopada 2017 r.

IOAcceleratorFamily

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.

CVE-2016-4627: Ju Zhu z Trend Micro

IOAcceleratorFamily

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-4628: Ju Zhu z Trend Micro

IOHIDFamily

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-4626: Stefan Esser z SektionEins

IOHIDFamily

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-4650: Peter Pi z Trend Micro w ramach programu Zero Day Initiative firmy HP

Wpis dodano 29 lipca 2016 r.

Jądro

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-1863: Ian Beer z zespołu Project Zero firmy Google

CVE-2016-4653: Ju Zhu z Trend Micro

CVE-2016-4582: Shrek_wzw i Proteas z Qihoo 360 Nirvan Team

Jądro

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) z KeenLab (@keen_lab), Tencent

Biblioteka Libc

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w funkcji „link_ntoa()” w linkaddr.c występował błąd przepełnienia buforu. Ten błąd naprawiono przez wprowadzenie dodatkowego mechanizmu sprawdzania ograniczeń.

CVE-2016-6559: Apple

Wpis dodano 10 stycznia 2017 r.

libxml2

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxml2.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2015-8317 : Hanno Boeck

CVE-2016-1836: Wei Lei i Liu Yang z Nanyang Technological University

CVE-2016-4447: Wei Lei i Liu Yang z Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Wpis uaktualniono 5 czerwca 2017 r.

libxml2

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.

Opis: w procedurze analizowania złośliwie spreparowanych plików XML występował błąd dostępu. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2016-4449: Kostya Serebryany

libxslt

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Wpis uaktualniono 11 kwietnia 2017 r.

Profile piaskownicy

Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermès

Zagrożenie: aplikacja lokalna może uzyskać dostęp do listy procesów.

Opis: w przypadku uprzywilejowanych odwołań do interfejsów API występował błąd dostępu. Ten błąd naprawiono przez wprowadzenie dodatkowych ograniczeń.

CVE-2016-4594: Stefan Esser z SektionEins

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: