Uaktualnienia zabezpieczeń firmy Apple
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z firmą Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach firmy Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 3.2
Wydano 27 marca 2017 r.
Dźwięk
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2430: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-2462: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro
Carbon
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki DFILE może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występowało przepełnienie buforu. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-2379: riusksk (泉哥) z Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd nieskończonej rekurencji przez ulepszenie mechanizmu zarządzania stanami.
CVE-2017-2417: riusksk (泉哥) z Tencent Security Platform Department
CoreGraphics
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2444: Mei Wang z 360 GearTeam
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego tekstu może doprowadzić do ataku typu „odmowa usługi” ze strony aplikacji.
Opis: naprawiono błąd powodujący wyczerpanie pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2461: anonimowy badacz, Isaac Archambault (IDAoADI)
FontParser
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2487: riusksk (泉哥) z Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) z Tencent Security Platform Department
FontParser
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: analizowanie złośliwie spreparowanego pliku czcionki może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2407: riusksk (泉哥) z Tencent Security Platform Department
FontParser
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2439: John Villamil, Doyensec
Protokół HTTP
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwy serwer HTTP/2 może być w stanie spowodować niezdefiniowane zachowanie.
Opis: w bibliotece nghttp2 w wersji starszej niż 1.17.0 występowały liczne błędy. Te błędy naprawiono przez uaktualnienie biblioteki nghttp2 do wersji 1.17.0.
CVE-2017-2428
Wpis uaktualniono 28 marca 2017 r.
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) z KeenLab, Tencent
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku JPEG może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2432: anonimowy badacz pracujący w ramach programu Zero Day Initiative firmy Trend Micro.
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2467
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w bibliotece LibTIFF w wersjach starszych niż 4.0.7 występował odczyt spoza zakresu. Ten problem rozwiązano, uaktualniając bibliotekę LibTIFF w elemencie ImageIO do wersji 4.0.7.
CVE-2016-3619
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2401: Lufeng Li z grupy Qihoo 360 Vulcan Team
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przekroczenia zakresu liczb całkowitych przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2440: anonimowy badacz
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: usunięto sytuację wyścigu przez poprawienie obsługi pamięci.
CVE-2017-2456: lokihardt z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2472: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2473: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przesunięcia o jeden przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-2474: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2017-2478: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-2482: Ian Beer z Google Project Zero
CVE-2017-2483: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z podwyższonymi uprawnieniami.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2490: Ian Beer z Google Project Zero, brytyjska organizacja National Cyber Security Centre (NCSC)
Wpis dodano 31 marca 2017 r.
Klawiatury
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: lokalna osoba atakująca może być w stanie zmienić uprawnienia do systemu plików dowolnych katalogów.
Opis: w procedurze obsługi łączy symbolicznych występował błąd walidacji. Ten błąd naprawiono przez poprawienie procedury walidacji łączy symbolicznych.
CVE-2017-2390: Omer Medan z enSilo Ltd
libc++abi
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przeprowadzenie filtrowania złośliwej aplikacji w języku C++ może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2441
libxslt
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: wykryto szereg luk w zabezpieczeniach biblioteki libxslt.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-5029: Holger Fuhrmannek
Wpis dodano 28 marca 2017 r.
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami użytkownika root.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-2451: Alex Radocea z Longterm Security, Inc.
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego certyfikatu x509 może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze analizowania certyfikatów występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
CVE-2017-2485: Aleksandar Nikolic z Cisco Talos
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2017-2415: Kai Kang z zespołu Xuanwu Lab firmy Tencent (tencent.com)
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do dużego wykorzystania pamięci.
Opis: naprawiono błąd niekontrolowanego wykorzystania zasobów przez ulepszenie mechanizmu przetwarzania wyrażeń regularnych.
CVE-2016-9643: Gustavo Grieco
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2471: Ivan Fratric z Google Project Zero
Dodatkowe podziękowania
XNU
Chcielibyśmy podziękować za pomoc Lufeng Li z Qihoo 360 Vulcan Team.