Zawartość związana z zabezpieczeniami w systemie watchOS 3.1.3

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 3.1.3.

Uaktualnienia zabezpieczeń firmy Apple

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

watchOS 3.1.3

Wydano 23 stycznia 2017 r.

Konta

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: odinstalowanie aplikacji nie powodowało zresetowania ustawień autoryzacji.

Opis: występował błąd, który powodował, że ustawienia autoryzacji nie były resetowane po odinstalowaniu aplikacji. Ten błąd naprawiono przez poprawienie mechanizmu oczyszczania.

CVE-2016-7651: Ju Zhu i Lilang Wu z firmy Trend Micro

Serwer APNs

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może śledzić działania użytkownika.

Opis: certyfikat klienta był wysyłany jako zwykły tekst. Ten błąd naprawiono przez poprawienie procedury obsługi certyfikatów.

CVE-2017-2383: Matthias Wachs i Quirin Scheitle z Uniwersytetu Technicznego w Monachium (TUM)

Wpis dodano 28 marca 2017 r.

Dźwięk

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7658: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent

CVE-2016-7659: Haohao Kong z Keen Lab (@keen_lab) firmy Tencent

CoreFoundation

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanych ciągów mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

Opis: w procedurze przetwarzania ciągów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7663: anonimowy badacz

CoreGraphics

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7627: TRAPMINE Inc. i Meysam Firouzi @R00tkitSMM

Odtwarzanie w aplikacji CoreMedia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku MP4 może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7588: dragonltx z Huawei 2012 Laboratories

CoreText

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7595: riusksk(泉哥) z Tencent Security Platform Department

Obrazy dysków

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7616: daybreaker@Minionz w ramach programu Zero Day Initiative firmy Trend Micro

FontParser

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-4691: riusksk(泉哥) z Tencent Security Platform Department

FontParser

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-4688: Simon Huang z firmy Alipay, thelongestusernameofall@gmail.com

ICU

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2016-7594: André Bargull

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: atakujący zdalnie może być w stanie ujawnić pamięć.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2016-7643: Yangkang (@dnpushme) z Qihoo360 Qex Team

IOHIDFamily

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7591: daybreaker z Minionz

IOKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7657: Keen Lab w ramach programu Zero Day Initiative firmy Trend Micro

IOKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra

Opis: naprawiono błąd związany z pamięcią wspólną przez poprawienie procedury obsługi pamięci.

CVE-2016-7714: Qidan He (@flanker_hqd) z KeenLab w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 25 stycznia 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7606: Chen Qin z Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie odczytać pamięć jądra.

Opis: naprawiono błąd niewystarczającej inicjalizacji przez właściwą inicjalizację pamięci przywróconej do przestrzeni użytkownika.

CVE-2016-7607: Brandon Azad

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2016-7615: brytyjska organizacja National Cyber Security Centre (NCSC)

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może spowodować nieoczekiwane zakończenie działania systemu lub wykonanie dowolnego kodu w jądrze.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7621: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7637: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: lokalna aplikacja z uprawnieniami systemowymi może wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2016-7644: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.

CVE-2016-7647: Lufeng Li z Qihoo 360 Vulcan Team

Wpis dodano 17 maja 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-2370: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2360: Ian Beer z Google Project Zero

libarchive

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: lokalny atakujący może nadpisać istniejące pliki.

Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.

CVE-2016-7619: anonimowy badacz

libarchive

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2016-8687: Agostino Sarubbo z Gentoo

Profile

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: otwarcie złośliwie spreparowanego certyfikatu może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi profilów certyfikatów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: atakujący może być w stanie wykorzystać słabe punkty w algorytmie kryptograficznym 3DES.

Opis: usunięto algorytm 3DES jako szyfr domyślny.

CVE-2016-4693: Gaëtan Leurent i Karthikeyan Bhargavan z INRIA Paris

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: w procedurze obsługi adresów URL respondera protokołu OCSP występował błąd walidacji. Ten błąd naprawiono przez weryfikację stanu wygaśnięcia protokołu OCSP po sprawdzeniu urzędu certyfikacji i ograniczenie liczby żądań protokołu OCSP na certyfikat.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: certyfikaty mogą być nieoczekiwanie uznawane za zaufane.

Opis: w procedurze walidacji certyfikatów występował błąd oceny certyfikatów. Ten błąd naprawiono przez wprowadzenie dodatkowej procedury walidacji certyfikatów.

CVE-2016-7662: Apple

syslog

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może uzyskać uprawnienia użytkownika root.

Opis: naprawiono błąd w odniesieniach do nazwy portu mach przez poprawienie procedury walidacji.

CVE-2016-7660: Ian Beer z Google Project Zero

Funkcja Odblokuj z iPhone'a

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: zegarek Apple Watch może się odblokować, gdy nie znajduje się na nadgarstku użytkownika.

Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.

CVE-2017-2352: Ashley Fernandez z raptAware Pty Ltd

Wpis uaktualniono 25 stycznia 2017 r.

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury zarządzania stanem.

CVE-2016-7589: Apple

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może skutkować pobieraniem między różnymi źródłami.

Opis: w procedurze obsługi wczytywania strony występowało wiele błędów walidacji. Ten błąd naprawiono przez poprawienie procedur obsługi procesów logicznych.

CVE-2017-2363: lokihardt z Google Project Zero

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: