Zawartość związana z zabezpieczeniami w systemie watchOS 4
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 4.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 4
802.1X
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący może wykorzystać słabości protokołu TLS 1.0.
Opis: problem bezpieczeństwa protokołu rozwiązano przez włączenie protokołów TLS 1.1 i TLS 1.2.
CVE-2017-13832: Doug Wussler z Florida State University
CFNetwork
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro
Serwery proxy środowiska CFNetwork
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.
CVE-2017-7083: Abhinav Bansal z firmy Zscaler Inc.
CFString
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
CoreAudio
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: uaktualnienie składnika Opus do wersji 1.1.4 uniemożliwia odczyt poza ograniczeniami.
CVE-2017-0381: V.E.O (@VYSEa) z Mobile Threat Research Team, Trend Micro
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
Protokół file
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: liczne błędy w protokole file.
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.
CVE-2017-13815: wykryte przez OSS-Fuzz
Fonts
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome
HFS
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13831: Glen Carmichael
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13817: Maxime Villard (grupa m00nbsd)
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: anonimowy badacz
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13843: anonimowy badacz, anonimowy badacz
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7114: Alex Plaskett z MWR InfoSecurity
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13854: Shrek_wzw z Qihoo 360 Nirvan Team
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.
CVE-2017-13834: Maxime Villard (m00nbsd)
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwa aplikacja może być w stanie uzyskać informację o obecności i działaniu innych aplikacji na urządzeniu.
Opis: aplikacja była w stanie uzyskać dostęp do informacji o aktywności sieci, które system operacyjny utrzymywał w nieograniczonym stanie. Ten błąd naprawiono przez ograniczenie informacji dostępnych dla aplikacji innych firm.
CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang z Uniwersytetu Stanowego Ohio, Xueqiang Wang i XiaoFeng Wang z Indiana University Bloomington i Xiaolong Bai z Tsinghua University
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-13813: problem wykryty przez OSS-Fuzz
CVE-2017-13816: problem wykryty przez OSS-Fuzz
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13812: problem wykryty przez OSS-Fuzz
Biblioteka libc
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: problem dotyczący wyczerpania się zasobów w składniku glob() został rozwiązany przez poprawienie algorytmu.
CVE-2017-7086: Russ Cox z Google
Biblioteka libc
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-1000373
libexpat
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: wiele błędów w oprogramowaniu expat.
Opis: naprawiono liczne błędy przez uaktualnienie wersji do 2.2.1.
CVE-2016-9063
CVE-2017-9233
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-9049: Wei Lei i Liu Yang z Nanyang Technological University w Singapurze
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-7376: anonimowy badacz
CVE-2017-5130: anonimowy badacz
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-9050: Mateusz Jurczyk (j00ru) z Google Project Zero
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4302: Gustavo Grieco
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: unieważniony certyfikat może być zaufany.
Opis: w procedurach obsługi danych unieważniania występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2017-7080: anonimowy badacz, Sven Driemecker z adesso mobile solutions gmbh, anonimowy badacz, Rune Darrud (@theflyingcorpse) z Bærum kommune
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: wiele błędów w oprogramowaniu SQLite.
Opis: naprawiono liczne błędy przez uaktualnienie wersji do 3.19.3.
CVE-2017-10989: problem wykryty przez OSS-Fuzz
CVE-2017-7128: problem wykryty przez OSS-Fuzz
CVE-2017-7129: problem wykryty przez OSS-Fuzz
CVE-2017-7130: problem wykryty przez OSS-Fuzz
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7127: anonimowy badacz
Wi-Fi
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwy kod wykonany w mikroukładzie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra na procesorze aplikacji.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7103: Gal Beniamini z Google Project Zero
CVE-2017-7105: Gal Beniamini z Google Project Zero
CVE-2017-7108: Gal Beniamini z Google Project Zero
CVE-2017-7110: Gal Beniamini z Google Project Zero
CVE-2017-7112: Gal Beniamini z Google Project Zero
Wi-Fi
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwy kod wykonany w mikroukładzie Wi-Fi może być w stanie odczytać zastrzeżoną pamięć jądra.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-7116: Gal Beniamini z Google Project Zero
zlib
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: liczne błędy w bibliotece zlib.
Opis: naprawiono liczne błędy przez uaktualnienie wersji do 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Dodatkowe podziękowania
Zabezpieczenia
Specjalne podziękowania za pomoc dla: Abhinav Bansal z firmy Zscaler, Inc.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.