Despre conținutul de securitate din watchOS 4

Acest document descrie conținutul de securitate din watchOS 4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după ID CVE atunci când este posibil.

watchOS 4

Publicare: 19.09.2017

CFNetwork Proxies

Disponibilitate pentru: toate modelele Apple Watch

Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului

Descriere: mai multe probleme de refuzare a serviciilor au fost rezolvate prin îmbunătățirea tratării memoriei.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

Intrare adăugată pe 25 septembrie 2017

CoreAudio

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate citi memorie restricționată

Descriere: prin actualizarea la Opus versiunea 1.1.4 s-a rezolvat o problemă legată de citirea în afara limitelor memoriei tampon.

CVE-2017-0381: V.E.O (@VYSEa) de la Mobile Threat Research Team, Trend Micro

Intrare adăugată pe 25 septembrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7114: Alex Plaskett de la MWR InfoSecurity

Intrare adăugată pe 25 septembrie 2017

libc

Disponibilitate pentru: toate modelele Apple Watch

Impact: un atacator aflat la distanță ar putea cauza o problemă de tipul DoS (refuzare a serviciului)

Descriere: o problemă legată de epuizarea resurselor în glob() a fost rezolvată printr-un algoritm îmbunătățit.

CVE-2017-7086: Russ Cox de la Google

Intrare adăugată pe 25 septembrie 2017

libc

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-1000373

Intrare adăugată pe 25 septembrie 2017

libexpat

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în Expat

Descriere: au fost rezolvate mai multe probleme prin actualizarea la versiunea 2.2.1

CVE-2016-9063

CVE-2017-9233

Intrare adăugată pe 25 septembrie 2017

Securitate

Disponibilitate pentru: toate modelele Apple Watch

Impact: unui certificat revocat i se poate acorda încredere

Descriere: a existat o problemă de validare a certificatelor la tratarea datelor de revocare. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-7080: un cercetător anonim, Sven Driemecker de la adesso mobile solutions gmbh, un cercetător anonim, Rune Darrud (@theflyingcorpse) de la Bærum kommune

Intrare adăugată pe 25 septembrie 2017

SQLite

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în SQLite

Descriere: au fost actualizate mai multe probleme prin actualizarea la versiunea 3.19.3.

CVE-2017-10989: problemă găsită de OSS-Fuzz

CVE-2017-7128: problemă găsită de OSS-Fuzz

CVE-2017-7129: problemă găsită de OSS-Fuzz

CVE-2017-7130: problemă găsită de OSS-Fuzz

Intrare adăugată pe 25 septembrie 2017

SQLite

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7127: un cercetător anonim

Intrare adăugată pe 25 septembrie 2017

Wi-Fi

Disponibilitate pentru: toate modelele Apple Watch

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7103: Gal Beniamini (Google Project Zero)

CVE-2017-7105: Gal Beniamini (Google Project Zero)

CVE-2017-7108: Gal Beniamini (Google Project Zero)

CVE-2017-7110: Gal Beniamini (Google Project Zero)

CVE-2017-7112: Gal Beniamini (Google Project Zero)

Wi-Fi

Disponibilitate pentru: toate modelele Apple Watch

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea citi memoria kernel restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-7116: Gal Beniamini (Google Project Zero)

zlib

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în zlib

Descriere: au fost rezolvate mai multe probleme prin actualizarea la versiunea 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Intrare adăugată pe 25 septembrie 2017

Alte mențiuni

Securitate

Dorim să-i mulțumim lui Abhinav Bansal de la Zscaler, Inc. pentru asistența acordată.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: