Zawartość związana z zabezpieczeniami w systemie watchOS 3.2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 3.2.

Uaktualnienia zabezpieczeń firmy Apple

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

watchOS 3.2

Wydano 27 marca 2017 r.

Dźwięk

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2430: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

CVE-2017-2462: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro

Carbon

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki DFILE może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2379: riusksk (泉哥) z Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: naprawiono błąd nieskończonej rekurencji przez ulepszenie mechanizmu zarządzania stanami.

CVE-2017-2417: riusksk (泉哥) z Tencent Security Platform Department

CoreGraphics

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2444: Mei Wang z 360 GearTeam

CoreText

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego tekstu może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.

Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2461: anonimowy badacz, Isaac Archambault (IDAoADI)

FontParser

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2487: riusksk (泉哥) z Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) z Tencent Security Platform Department

FontParser

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: analizowanie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2407: riusksk (泉哥) z Tencent Security Platform Department

FontParser

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.

Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2439: John Villamil, Doyensec

Protokół HTTP

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwy serwer HTTP/2 może być w stanie spowodować niezdefiniowane zachowanie.

Opis: w bibliotece nghttp2 w wersji starszej niż 1.17.0 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie biblioteki nghttp2 do wersji 1.17.0.

CVE-2017-2428

Wpis uaktualniono 28 marca 2017 r.

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2432: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro.

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2467

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

Opis: w bibliotece LibTIFF w wersjach starszych niż 4.0.7 występował odczyt spoza zakresu. Ten problem rozwiązano, uaktualniając bibliotekę LibTIFF w elemencie ImageIO do wersji 4.0.7.

CVE-2016-3619

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2401: Lufeng Li z grupy Qihoo 360 Vulcan Team

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2440: anonimowy badacz

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

Opis: usunięto sytuację wyścigu przez poprawienie obsługi pamięci.

CVE-2017-2456: lokihardt z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2472: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2473: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przesunięcia o jeden przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2474: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2017-2478: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-2482: Ian Beer z Google Project Zero

CVE-2017-2483: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2490: Ian Beer z Google Project Zero, brytyjska organizacja National Cyber Security Centre (NCSC)

Wpis dodano 31 marca 2017 r.

Klawiatury

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: lokalna osoba atakująca może być w stanie zmienić uprawnienia do systemu plików dowolnych katalogów.

Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.

CVE-2017-2390: Omer Medan z enSilo Ltd

libc++abi

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przeprowadzenie filtrowania złośliwej aplikacji w języku C++ może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2441

libxslt

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-5029: Holger Fuhrmannek

Wpis dodano 28 marca 2017 r.

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.

CVE-2017-2451: Alex Radocea z Longterm Security, Inc.

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu x509 może doprowadzić do wykonania dowolnego kodu.

Opis: w procedurze analizowania certyfikatów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

CVE-2017-2485: Aleksandar Nikolic z Cisco Talos

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.

CVE-2017-2415: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do dużego wykorzystania pamięci.

Opis: naprawiono błąd niekontrolowanego wykorzystania zasobów przez ulepszenie mechanizmu przetwarzania wyrażeń regularnych.

CVE-2016-9643: Gustavo Grieco

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2471: Ivan Fratric z Google Project Zero

Dodatkowe podziękowania

XNU

Chcielibyśmy podziękować za pomoc Lufeng Li z Qihoo 360 Vulcan Team.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: