Zawartość związana z zabezpieczeniami w systemie watchOS 3.2.2

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

Wydano 15 maja, 2017 r.

AVEVideoEncoder

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może uzyskać uprawnienia jądra.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-6989: Adam Donenfeld (@doadam) z Zimperium zLabs Team

CVE-2017-6994: Adam Donenfeld (@doadam) z Zimperium zLabs Team

CVE-2017-6995: Adam Donenfeld (@doadam) z Zimperium zLabs Team

CVE-2017-6996: Adam Donenfeld (@doadam) z Zimperium zLabs Team

CVE-2017-6997: Adam Donenfeld (@doadam) z Zimperium zLabs Team

CVE-2017-6998: Adam Donenfeld (@doadam) z Zimperium zLabs Team

CVE-2017-6999: Adam Donenfeld (@doadam) z Zimperium zLabs Team

Wpis uaktualniono 17 maja 2017 r.

CoreAudio

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-2502: Yangkang (@dnpushme) z Qihoo360 Qex Team

CoreFoundation

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: analizowanie złośliwie spreparowanych danych może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2522: Ian Beer z Google Project Zero

Wpis dodano 19 maja 2017 r.

CoreText

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do zamknięcia aplikacji.

Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.

CVE-2017-7003: Jake Davis z SPYSCAPE (@DoubleJake)

Wpis dodano 31 maja 2017 r.

Foundation

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: analizowanie złośliwie spreparowanych danych może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2523: Ian Beer z Google Project Zero

Wpis dodano 19 maja 2017 r.

IOSurface

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może uzyskać uprawnienia jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2017-6979: Adam Donenfeld (@doadam) z Zimperium zLabs Team

Wpis uaktualniono 17 maja 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.

CVE-2017-2501: Ian Beer z Google Project Zero

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-2507: Ian Beer z Google Project Zero

CVE-2017-6987: Patrick Wardle z Synack

SQLite

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.

CVE-2017-2513: odnalezione przez OSS-Fuzz

SQLite

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-2518: odnalezione przez OSS-Fuzz

CVE-2017-2520: odnalezione przez OSS-Fuzz

SQLite

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2519: odnalezione przez OSS-Fuzz

TextInput

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: analizowanie złośliwie spreparowanych danych może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2524: Ian Beer z Google Project Zero

WebKit

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-2521: lokihardt z Google Project Zero

Jądro

Dziękujemy za udzieloną pomoc: Orr A. z zespołu Aleph Research, HCL Technologies.

Zabezpieczenia

Dziękujemy Ianowi Beer z Google Project Zero za udzieloną pomoc.