Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 3.2.3
Wydano 19 lipca 2017 r.
Kontakty
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-7062: Shashank (@cyberboyIndia)
IOUSBFamily
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7009: shrek_wzw z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7022: anonimowy badacz
CVE-2017-7024: anonimowy badacz
CVE-2017-7026: anonimowy badacz
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7023: anonimowy badacz
CVE-2017-7025: anonimowy badacz
CVE-2017-7027: anonimowy badacz
CVE-2017-7069: Proteas z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd weryfikacji przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-7028: anonimowy badacz
CVE-2017-7029: anonimowy badacz
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-7068: odnalezione przez OSS-Fuzz
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: analizowanie złośliwie spreparowanego dokumentu XML może doprowadzić do ujawnienia informacji o użytkowniku.
Opis: naprawiono błąd odczytu spoza zakresu przez poprawienie mechanizmu sprawdzania ograniczeń.
CVE-2017-7013: odnalezione przez OSS-Fuzz
libxpc
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7047: Ian Beer z Google Project Zero
Wiadomości
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: osoba atakująca zdalnie może spowodować nieoczekiwane zakończenie działania aplikacji.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7063: Shashank (@cyberboyIndia)
Wi-Fi
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: osoba atakująca będąca w zasięgu może być w stanie wykonać dowolny kod w mikroukładzie Wi-Fi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-9417: Nitay Artenstein z Exodus Intelligence