Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 3.2.2
Wydano 15 maja, 2017 r.
AVEVideoEncoder
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może uzyskać uprawnienia jądra.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-6989: Adam Donenfeld (@doadam) z Zimperium zLabs Team
CVE-2017-6994: Adam Donenfeld (@doadam) z Zimperium zLabs Team
CVE-2017-6995: Adam Donenfeld (@doadam) z Zimperium zLabs Team
CVE-2017-6996: Adam Donenfeld (@doadam) z Zimperium zLabs Team
CVE-2017-6997: Adam Donenfeld (@doadam) z Zimperium zLabs Team
CVE-2017-6998: Adam Donenfeld (@doadam) z Zimperium zLabs Team
CVE-2017-6999: Adam Donenfeld (@doadam) z Zimperium zLabs Team
Wpis uaktualniono 17 maja 2017 r.
CoreAudio
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-2502: Yangkang (@dnpushme) z Qihoo360 Qex Team
CoreFoundation
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: analizowanie złośliwie spreparowanych danych może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2522: Ian Beer z Google Project Zero
Wpis dodano 19 maja 2017 r.
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku może doprowadzić do zamknięcia aplikacji.
Opis: rozwiązano problem z podatnością na atak typu „odmowa usługi” przez poprawienie procedury sprawdzania poprawności.
CVE-2017-7003: Jake Davis z SPYSCAPE (@DoubleJake)
Wpis dodano 31 maja 2017 r.
Foundation
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: analizowanie złośliwie spreparowanych danych może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2523: Ian Beer z Google Project Zero
Wpis dodano 19 maja 2017 r.
IOSurface
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może uzyskać uprawnienia jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2017-6979: Adam Donenfeld (@doadam) z Zimperium zLabs Team
Wpis uaktualniono 17 maja 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2017-2501: Ian Beer z Google Project Zero
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-2507: Ian Beer z Google Project Zero
CVE-2017-6987: Patrick Wardle z Synack
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-2513: odnalezione przez OSS-Fuzz
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-2518: odnalezione przez OSS-Fuzz
CVE-2017-2520: odnalezione przez OSS-Fuzz
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwie spreparowane zapytania SQL może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2519: odnalezione przez OSS-Fuzz
TextInput
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: analizowanie złośliwie spreparowanych danych może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2524: Ian Beer z Google Project Zero
WebKit
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-2521: lokihardt z Google Project Zero
Dodatkowe podziękowania
Jądro
Dziękujemy za udzieloną pomoc: Orr A. z zespołu Aleph Research, HCL Technologies.
Zabezpieczenia
Dziękujemy Ianowi Beer z Google Project Zero za udzieloną pomoc.