Uaktualnienia zabezpieczeń firmy Apple
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 3.1.3
Wydano 23 stycznia 2017 r.
Konta
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: odinstalowanie aplikacji nie powodowało zresetowania ustawień autoryzacji.
Opis: występował błąd, który powodował, że ustawienia autoryzacji nie były resetowane po odinstalowaniu aplikacji. Ten błąd naprawiono przez poprawienie mechanizmu oczyszczania.
CVE-2016-7651: Ju Zhu i Lilang Wu z firmy Trend Micro
Serwer APNs
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może śledzić działania użytkownika.
Opis: certyfikat klienta był wysyłany jako zwykły tekst. Ten błąd naprawiono przez poprawienie procedury obsługi certyfikatów.
CVE-2017-2383: Matthias Wachs i Quirin Scheitle z Uniwersytetu Technicznego w Monachium (TUM)
Wpis dodano 28 marca 2017 r.
Dźwięk
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7658: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent
CVE-2016-7659: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent
CoreFoundation
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanych ciągów mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze przetwarzania ciągów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-7663: anonimowy badacz
CoreGraphics
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7627: TRAPMINE Inc. i Meysam Firouzi @R00tkitSMM
Odtwarzanie w aplikacji CoreMedia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku MP4 może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-7588: dragonltx z Huawei 2012 Laboratories
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-7595: riusksk(泉哥) z Tencent Security Platform Department
Obrazy dysków
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7616: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro
FontParser
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-4691: riusksk(泉哥) z Tencent Security Platform Department
FontParser
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-4688: Simon Huang z firmy Alipay, thelongestusernameofall@gmail.com
ICU
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2016-7594: André Bargull
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący zdalnie może być w stanie ujawnić pamięć.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2016-7643: Yangkang (@dnpushme) z Qihoo360 Qex Team
IOHIDFamily
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2016-7591: daybreaker z Minionz
IOKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7657: Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro
IOKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra
Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.
CVE-2016-7714: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 25 stycznia 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7606: Chen Qin z Topsec Alpha Team (topsec.com), @cocoahuke
CVE-2016-7612: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.
Opis: naprawiono błąd niewystarczającej inicjalizacji przez właściwą inicjalizację pamięci przywróconej do przestrzeni użytkownika.
CVE-2016-7607: Brandon Azad
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2016-7615: brytyjska organizacja National Cyber Security Centre (NCSC)
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2016-7621: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7637: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2016-7644: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2016-7647: Lufeng Li z Qihoo 360 Vulcan Team
Wpis dodano 17 maja 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-2370: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2360: Ian Beer z Google Project Zero
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: lokalny atakujący może nadpisać istniejące pliki.
Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.
CVE-2016-7619: anonimowy badacz
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2016-8687: Agostino Sarubbo z Gentoo
Profile
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: otwarcie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi profilów certyfikatów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący może być w stanie wykorzystać słabe punkty w algorytmie kryptograficznym 3DES.
Opis: usunięto algorytm 3DES jako szyfr domyślny.
CVE-2016-4693: Gaëtan Leurent i Karthikeyan Bhargavan z INRIA Paris
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.
Opis: w procedurze obsługi adresów URL respondera protokołu OCSP występował błąd walidacji. Ten błąd naprawiono przez weryfikację stanu wygaśnięcia protokołu OCSP po sprawdzeniu urzędu certyfikacji i ograniczenie liczby żądań protokołu OCSP na certyfikat.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: certyfikaty mogą być nieoczekiwanie uznawane za zaufane.
Opis: w procedurze walidacji certyfikatów występował błąd oceny certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej procedury walidacji certyfikatów.
CVE-2016-7662: Apple
syslog
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.
Opis: naprawiono błąd w odniesieniach do nazwy portu mach przez poprawienie procedury walidacji.
CVE-2016-7660: Ian Beer z Google Project Zero
Funkcja Odblokuj z iPhone'a
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: zegarek Apple Watch może się odblokować, gdy nie znajduje się na nadgarstku użytkownika.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2017-2352: Ashley Fernandez z raptAware Pty Ltd
Wpis uaktualniono 25 stycznia 2017 r.
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.
CVE-2016-7589: Apple
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.
Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.
CVE-2017-2363: lokihardt z Google Project Zero