Zawartość związana z zabezpieczeniami w systemie watchOS 4

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 4.

Uaktualnienia zabezpieczeń Apple

W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.

Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.

watchOS 4

Wydano 19 września 2017 r.

802.1X

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: atakujący może wykorzystać słabości protokołu TLS 1.0.

Opis: problem bezpieczeństwa protokołu rozwiązano przez włączenie protokołów TLS 1.1 i TLS 1.2.

CVE-2017-13832: Doug Wussler z Florida State University

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

CFNetwork

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13829: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro 

CVE-2017-13833: Niklas Baumstark i Samuel Gro w ramach programu Zero Day Initiative firmy Trend Micro

Wpis dodano 10 listopada 2017 r.

Serwery proxy środowiska CFNetwork

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.

Opis: poprawiono obsługę pamięci w celu wyeliminowania wielu problemów mogących prowadzić do ataków typu „odmowa usługi”.

CVE-2017-7083: Abhinav Bansal z firmy Zscaler Inc.

Wpis dodano 25 września 2017 r.

CFString

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13821: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

CoreAudio

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: uaktualnienie składnika Opus do wersji 1.1.4 uniemożliwia odczyt poza ograniczeniami.

CVE-2017-0381: V.E.O (@VYSEa) z Mobile Threat Research Team, Trend Micro

Wpis dodano 25 września 2017 r.

CoreText

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13825: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

Protokół file

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: liczne błędy w protokole file.

Opis: naprawiono liczne błędy przez uaktualnienie do wersji 5.31.

CVE-2017-13815

Wpis dodano 31 października 2017 r.

Fonts

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: renderowanie niezaufanego tekstu może prowadzić do sfałszowania.

Opis: usunięto błąd dotyczący niespójnego interfejsu użytkownika przez poprawienie mechanizmu zarządzania stanem.

CVE-2017-13828: Leonard Grey i Robert Sesek z Google Chrome

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

HFS

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13830: Sergej Schumilo z Ruhr University Bochum

Wpis dodano 31 października 2017 r.

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13814: australijska organizacja Australian Cyber Security Centre — Australian Signals Directorate

Wpis dodano 31 października 2017 r.

ImageIO

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do ataku typu „odmowa usługi”.

Opis: w procedurze przetwarzania obrazów dysków występował błąd powodujący ujawnianie informacji. Ten błąd naprawiono przez poprawienie procedur zarządzania pamięcią.

CVE-2017-13831: Glen Carmichael

Wpis dodano 31 października 2017 r., uaktualniono 10 listopada 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: użytkownik lokalny może być w stanie odczytać dane z pamięci jądra.

Opis: występował błąd odczytu spoza zakresu, który mógł doprowadzić do ujawnienia rozkładu pamięci jądra. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13817: Maxime Villard (grupa m00nbsd)

Wpis dodano 31 października 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może odczytać pamięć zastrzeżoną.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-13818: brytyjska organizacja National Cyber Security Centre (NCSC)

CVE-2017-13836: anonimowy badacz, anonimowy badacz

CVE-2017-13841: anonimowy badacz

CVE-2017-13840: anonimowy badacz

CVE-2017-13842: anonimowy badacz

CVE-2017-13782: anonimowy badacz

Wpis dodano 31 października 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13843: anonimowy badacz, anonimowy badacz

Wpis dodano 31 października 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7114: Alex Plaskett z MWR InfoSecurity

Wpis dodano 25 września 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-13854: Shrek_wzw z Qihoo 360 Nirvan Team

Wpis dodano 2 listopada 2017 r.

Jądro

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: przetworzenie zniekształconego pliku binarnego mach może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności.

CVE-2017-13834: Maxime Villard (m00nbsd)

Wpis dodano 10 listopada 2017 r.

libarchive

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: naprawiono błąd przepełnienia buforu przez poprawienie procedury obsługi pamięci.

CVE-2017-13813: problem wykryty przez OSS-Fuzz

CVE-2017-13816: problem wykryty przez OSS-Fuzz

Wpis dodano 31 października 2017 r.

libarchive

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

Opis: w bibliotece libarchive występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie procedury sprawdzania poprawności danych wejściowych.

CVE-2017-13812: problem wykryty przez OSS-Fuzz

Wpis dodano 31 października 2017 r.

Biblioteka libc

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.

Opis: problem dotyczący wyczerpania się zasobów w składniku glob() został rozwiązany przez poprawienie algorytmu.

CVE-2017-7086: Russ Cox z Google

Wpis dodano 25 września 2017 r.

Biblioteka libc

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może spowodować atak typu „odmowa usługi”.

Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-1000373

Wpis dodano 25 września 2017 r.

libexpat

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: wiele błędów w oprogramowaniu expat.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 2.2.1.

CVE-2016-9063

CVE-2017-9233

Wpis dodano 25 września 2017 r.

Zabezpieczenia

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: unieważniony certyfikat może być zaufany.

Opis: w procedurach obsługi danych unieważniania występował błąd sprawdzania poprawności certyfikatów. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności.

CVE-2017-7080: anonimowy badacz, Sven Driemecker z adesso mobile solutions gmbh, anonimowy badacz, Rune Darrud (@theflyingcorpse) z Bærum kommune

Wpis dodano 25 września 2017 r.

SQLite

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: wiele błędów w oprogramowaniu SQLite.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 3.19.3.

CVE-2017-10989: problem wykryty przez OSS-Fuzz

CVE-2017-7128: problem wykryty przez OSS-Fuzz

CVE-2017-7129: problem wykryty przez OSS-Fuzz

CVE-2017-7130: problem wykryty przez OSS-Fuzz

Wpis dodano 25 września 2017 r.

SQLite

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7127: anonimowy badacz

Wpis dodano 25 września 2017 r.

Wi-Fi

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwy kod wykonany w mikroukładzie Wi-Fi może być w stanie wykonać dowolny kod z uprawnieniami jądra na procesorze aplikacji.

Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.

CVE-2017-7103: Gal Beniamini z Google Project Zero

CVE-2017-7105: Gal Beniamini z Google Project Zero

CVE-2017-7108: Gal Beniamini z Google Project Zero

CVE-2017-7110: Gal Beniamini z Google Project Zero

CVE-2017-7112: Gal Beniamini z Google Project Zero

Wi-Fi

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: złośliwy kod wykonany w mikroukładzie Wi-Fi może być w stanie odczytać zastrzeżoną pamięć jądra.

Opis: naprawiono błąd sprawdzania poprawności przez poprawienie mechanizmu oczyszczania danych wejściowych.

CVE-2017-7116: Gal Beniamini z Google Project Zero

zlib

Dostępne dla: wszystkich modeli zegarka Apple Watch

Zagrożenie: liczne błędy w bibliotece zlib.

Opis: naprawiono liczne błędy przez uaktualnienie wersji do 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Wpis dodano 25 września 2017 r.

Dodatkowe podziękowania

Zabezpieczenia

Specjalne podziękowania za pomoc dla: Abhinav Bansal z firmy Zscaler, Inc.

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: