Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Więcej informacji na temat zabezpieczeń można znaleźć na stronie Bezpieczeństwo produktów firmy Apple. Komunikację z Apple można szyfrować za pomocą klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
watchOS 4.1
Wydano 31 października 2017 r.
CoreText
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może spowodować nieoczekiwane zakończenie działania aplikacji
Opis: naprawiono błąd podatności na atak typu „odmowa usługi” przez poprawienie procedury obsługi pamięci.
CVE-2017-13849: Ro z SavSec
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2017-13799: Lufeng Li z grupy Qihoo 360 Vulcan Team
Wpis uaktualniono 10 listopada 2017 r.
Jądro
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwa aplikacja może być w stanie uzyskać informację o obecności i działaniu innych aplikacji na urządzeniu.
Opis: aplikacja była w stanie uzyskać dostęp do informacji o procesie, które system operacyjny utrzymywał w nieograniczonym stanie. Ten błąd naprawiono przez ograniczenie przepustowości.
CVE-2017-13852: Xiaokuan Zhang i Yinqian Zhang z Uniwersytetu Stanowego Ohio, Xueqiang Wang i XiaoFeng Wang z Indiana University Bloomington i Xiaolong Bai z Tsinghua University
Wpis dodano 10 listopada 2017 r.
Przesyłanie strumieniowe pliku ZIP
Dostępne dla: wszystkich modeli zegarka Apple Watch
Zagrożenie: złośliwy plik ZIP mógł modyfikować obszary systemu plików objęte ograniczeniami
Opis: naprawiono błąd w procedurze obsługi wyrażeń przez poprawienie procedury sprawdzania poprawności.
CVE-2017-13804: @qwertyoruiopz z KJC Research Intl. S.R.L.
Wi-Fi
Nowe modele zegarków Apple Watch nie są zagrożone tą luką
Zagrożenie: atakujący będący w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Unicast/PTK (Key Reinstallation Attacks — KRACK)
Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-13077: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
CVE-2017-13078: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
Wpis uaktualniono 3 listopada 2017 r.
Wi-Fi
Dostępne dla: zegarków Apple Watch Series 1 i Apple Watch Series 2
Zagrożenie: atakujący będący w zasięgu sieci Wi-Fi może wymusić ponowne użycie liczby jednorazowego użytku na klientach WPA Multicast/GTK (Key Reinstallation Attacks — KRACK)
Opis: w procedurze obsługi przejść pomiędzy stanami występował błąd logiczny. Ten błąd naprawiono przez poprawienie procedur zarządzania stanem.
CVE-2017-13080: Mathy Vanhoef z grupy imec-DistriNet w KU Leuven
Wpis uaktualniono 3 listopada 2017 r.