Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 4
Wydano 19 września 2017 r.
802.1X
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący może wykorzystać słabości protokołu TLS 1.0.
Opis: problem bezpieczeństwa protokołu rozwiązano przez włączenie protokołów TLS 1.1 i TLS 1.2.
CVE-2017-13832: Doug Wussler z Florida State University
Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.
CFNetwork
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro
CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro
Wpis dodano 10 listopada 2017 r.
Serwery proxy środowiska CFNetwork
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.
Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.
CVE-2017-7083: Abhinav Bansal z firmy Zscaler Inc.
Wpis dodano 25 września 2017 r.
CFString
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
Wpis dodano 31 października 2017 r.
CoreAudio
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: uaktualnienie składnika Opus do wersji 1.1.4 uniemożliwia odczyt poza ograniczeniami.
CVE-2017-0381: V.E.O (@VYSEa) z Mobile Threat Research Team, Trend Micro
Wpis dodano 25 września 2017 r.
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
Wpis dodano 31 października 2017 r., uaktualniono 16 listopada 2018 r.
Protokół file
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: liczne błędy w protokole file.
Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.
CVE-2017-13815: wykryte przez OSS-Fuzz
Wpis dodano 31 października 2017 r., zaktualizowano 18 października 2018 r.
Fonts
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.
Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.
CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome
Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.
HFS
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum
Wpis dodano 31 października 2017 r.
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate
Wpis dodano 31 października 2017 r., uaktualniono 16 listopada 2018 r.
ImageIO
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.
Opis: w procedurze przetwarzania obrazów dysków występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.
CVE-2017-13831: Glen Carmichael
Wpis dodano 31 października 2017 r., uaktualniono 16 listopada 2018 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.
Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13817: Maxime Villard (grupa m00nbsd)
Wpis dodano 31 października 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: anonimowy badacz
Wpis dodano 31 października 2017 r., uaktualniono 18 czerwca 2018 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13843: anonimowy badacz, anonimowy badacz
Wpis dodano 31 października 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7114: Alex Plaskett z MWR InfoSecurity
Wpis dodano 25 września 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13854: Shrek_wzw z Qihoo 360 Nirvan Team
Wpis dodano 2 listopada 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.
CVE-2017-13834: Maxime Villard (m00nbsd)
Wpis dodano 10 listopada 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwa aplikacja może być w stanie uzyskać informację o obecności i działaniu innych aplikacji na urządzeniu.
Opis: aplikacja była w stanie uzyskać dostęp do informacji o aktywności sieci, które system operacyjny utrzymywał w nieograniczonym stanie. Ten błąd naprawiono przez ograniczenie informacji dostępnych dla aplikacji innych firm.
CVE-2017-13873: Xiaokuan Zhang i Yinqian Zhang z Uniwersytetu Stanowego Ohio, Xueqiang Wang i XiaoFeng Wang z Indiana University Bloomington i Xiaolong Bai z Tsinghua University
Wpis dodano 30 listopada 2017 r.
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-13813: problem wykryty przez OSS-Fuzz
CVE-2017-13816: problem wykryty przez OSS-Fuzz
Wpis dodano 31 października 2017 r.
libarchive
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-13812: problem wykryty przez OSS-Fuzz
Wpis dodano 31 października 2017 r.
Biblioteka libc
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: problem dotyczący wyczerpania się zasobów w składniku glob() został rozwiązany przez poprawienie algorytmu.
CVE-2017-7086: Russ Cox z Google
Wpis dodano 25 września 2017 r.
Biblioteka libc
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-1000373
Wpis dodano 25 września 2017 r.
libexpat
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: wiele błędów w oprogramowaniu expat.
Opis: naprawiono liczne błędy przez uaktualnienie wersji do 2.2.1.
CVE-2016-9063
CVE-2017-9233
Wpis dodano 25 września 2017 r.
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2017-9049: Wei Lei i Liu Yang z Nanyang Technological University w Singapurze
Wpis dodano 18 października 2018 r.
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: usunięto błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.
CVE-2017-7376: anonimowy badacz
CVE-2017-5130: anonimowy badacz
Wpis dodano 18 października 2018 r.
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2017-9050: Mateusz Jurczyk (j00ru) z Google Project Zero
Wpis dodano 18 października 2018 r.
libxml2
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku XML mogło spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: naprawiono błąd dereferencji wskaźnika null przez poprawienie procedury sprawdzania poprawności.
CVE-2018-4302: Gustavo Grieco
Wpis dodano 18 października 2018 r.
Zabezpieczenia
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: unieważniony certyfikat może być zaufany.
Opis: w procedurach obsługi danych unieważniania występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.
CVE-2017-7080: anonimowy badacz, Sven Driemecker z adesso mobile solutions gmbh, anonimowy badacz, Rune Darrud (@theflyingcorpse) z Bærum kommune
Wpis dodano 25 września 2017 r.
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: wiele błędów w oprogramowaniu SQLite.
Opis: naprawiono liczne błędy przez uaktualnienie wersji do 3.19.3.
CVE-2017-10989: problem wykryty przez OSS-Fuzz
CVE-2017-7128: problem wykryty przez OSS-Fuzz
CVE-2017-7129: problem wykryty przez OSS-Fuzz
CVE-2017-7130: problem wykryty przez OSS-Fuzz
Wpis dodano 25 września 2017 r.
SQLite
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7127: anonimowy badacz
Wpis dodano 25 września 2017 r.
Wi-Fi
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwy kod wykonany w mikroukładzie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra na procesorze aplikacji.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-7103: Gal Beniamini z Google Project Zero
CVE-2017-7105: Gal Beniamini z Google Project Zero
CVE-2017-7108: Gal Beniamini z Google Project Zero
CVE-2017-7110: Gal Beniamini z Google Project Zero
CVE-2017-7112: Gal Beniamini z Google Project Zero
Wi-Fi
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwy kod wykonany w mikroukładzie Wi-Fi może być w stanie odczytać zastrzeżoną pamięć jądra.
Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.
CVE-2017-7116: Gal Beniamini z Google Project Zero
zlib
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: liczne błędy w bibliotece zlib.
Opis: naprawiono liczne błędy przez uaktualnienie wersji do 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Wpis dodano 25 września 2017 r.
Dodatkowe podziękowania
Zabezpieczenia
Specjalne podziękowania za pomoc dla: Abhinav Bansal z firmy Zscaler, Inc.