Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
watchOS 4
Publicare: 19 septembrie 2017
802.1X
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un atacator ar putea exploata vulnerabilități din TLS 1.0
Descrierea: s-a rezolvat o problemă legată de securitatea protocoalelor prin activarea TLS 1.1 și TLS 1.2.
CVE-2017-13832: Doug Wussler (Florida State University)
Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017
CFNetwork
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13829: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)
CVE-2017-13833: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)
Intrare adăugată pe 10 noiembrie 2017
Servere proxy CFNetwork
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului
Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.
CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)
Intrare adăugată pe 25 septembrie 2017
CFString
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
Intrare adăugată pe 31 octombrie 2017
CoreAudio
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de citire în afara limitelor prin actualizarea la Opus versiunea 1.1.4.
CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)
Intrare adăugată pe 25 septembrie 2017
CoreText
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de consumare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
Intrare adăugată pe 31 octombrie 2017 și actualizată pe 16 noiembrie 2018
fișier
Disponibilitate pentru: toate modelele de Apple Watch
Impact: probleme multiple în fișier
Descriere: mai multe probleme au fost rezolvate prin actualizarea la versiunea 5.31.
CVE-2017-13815: găsit de OSS-Fuzz
Intrare adăugată pe 31 octombrie 2017 și actualizată pe 18 octombrie 2018
Fonturi
Disponibilitate pentru: toate modelele de Apple Watch
Impact: redarea unui text care nu prezintă încredere ar putea duce la compromiterea adresei IP
Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.
CVE-2017-13828: Leonard Grey și Robert Sesek (Google Chrome)
Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017
HFS
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum
Intrare adăugată pe 31 octombrie 2017
ImageIO
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
Intrare adăugată pe 31 octombrie 2017 și actualizată pe 16 noiembrie 2018
ImageIO
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-13831: Glen Carmichael
Adăugare intrare: 31 octombrie 2017; actualizare intrare: 3 aprilie 2019
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un utilizator local poate citi memoria kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-13817: Maxime Villard (m00nbsd)
Intrare adăugată pe 31 octombrie 2017
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-13818: National Cyber Security Centre (NCSC) (Regatul Unit)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: un cercetător anonim
Intrare adăugată pe 31 octombrie 2017 și actualizată pe 18 iunie 2018
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13843: un cercetător anonim, un cercetător anonim
Intrare adăugată pe 31 octombrie 2017
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)
Intrare adăugată pe 25 septembrie 2017
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)
Intrare adăugată pe 2 noiembrie 2017
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unui fișier binar mach malformat poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării.
CVE-2017-13834: Maxime Villard (m00nbsd)
Intrare adăugată pe 10 noiembrie 2017
Kernel
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație rău intenționată poate afla informații despre prezența și funcționarea altor aplicații pe dispozitiv.
Descriere: o aplicație putea accesa informații despre activitatea în rețea menținute nerestricționate de către sistemul de operare. Această problemă a fost rezolvată prin reducerea informațiilor disponibile pentru aplicații de la terțe părți.
CVE-2017-13873: Xiaokuan Zhang și Yinqian Zhang (Ohio State University), Xueqiang Wang și XiaoFeng Wang (Indiana University Bloomington) și Xiaolong Bai (Tsinghua University)
Intrare adăugată pe 30 noiembrie 2017
libarchive
Disponibilitate pentru: toate modelele de Apple Watch
Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.
CVE-2017-13813: problemă găsită de OSS-Fuzz
CVE-2017-13816: problemă găsită de OSS-Fuzz
Intrare adăugată pe 31 octombrie 2017
libarchive
Disponibilitate pentru: toate modelele de Apple Watch
Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: în libarchive erau mai multe probleme de corupere a memoriei. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a intrărilor.
CVE-2017-13812: problemă găsită de OSS-Fuzz
Intrare adăugată pe 31 octombrie 2017
libc
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)
Descriere: a fost rezolvată o problemă de epuizare a resurselor în glob() printr-un algoritm îmbunătățit.
CVE-2017-7086: Russ Cox (Google)
Intrare adăugată pe 25 septembrie 2017
libc
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate provoca o refuzare a serviciului
Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-1000373
Intrare adăugată pe 25 septembrie 2017
libexpat
Disponibilitate pentru: toate modelele de Apple Watch
Impact: probleme multiple în expat
Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 2.2.1.
CVE-2016-9063
CVE-2017-9233
Intrare adăugată pe 25 septembrie 2017
libxml2
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de corupere a memoriei a fost rezolvată printr-o gestionare mai bună a memoriei.
CVE-2017-9049: Wei Lei și Liu Yang - Nanyang Technological University din Singapore
Intrare adăugată pe 18 octombrie 2018
libxml2
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de depășire a memoriei-tampon prin îmbunătățirea tratării memoriei.
CVE-2017-7376: un cercetător anonim
CVE-2017-5130: un cercetător anonim
Intrare adăugată pe 18 octombrie 2018
libxml2
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: o problemă de alterare a memoriei a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2017-9050: Mateusz Jurczyk (j00ru) de la Google Project Zero
Adăugare intrare: 18 octombrie 2018
libxml2
Disponibilitate pentru: toate modelele de Apple Watch
Impact: procesarea unor coduri XML create cu rea intenție poate cauza terminarea neașteptată a aplicației sau executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de anulare a referinței pentru indicatorul nul prin îmbunătățirea validării.
CVE-2018-4302: Gustavo Grieco
Intrare adăugată pe 18 octombrie 2018
Securitate
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un certificat revocat poate fi considerat ca fiind de încredere
Descriere: a existat o problemă de validare la tratarea datelor de revocare. Această problemă a fost rezolvată prin îmbunătățirea validării.
CVE-2017-7080: un cercetător anonim, Sven Driemecker de la adesso mobile solutions gmbh, un cercetător anonim, Rune Darrud (@theflyingcorpse) de la Bærum kommune
Intrare adăugată pe 25 septembrie 2017
SQLite
Disponibilitate pentru: toate modelele de Apple Watch
Impact: probleme multiple în SQLite
Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 3.19.3.
CVE-2017-10989: problemă găsită de OSS-Fuzz
CVE-2017-7128: problemă găsită de OSS-Fuzz
CVE-2017-7129: problemă găsită de OSS-Fuzz
CVE-2017-7130: problemă găsită de OSS-Fuzz
Intrare adăugată pe 25 septembrie 2017
SQLite
Disponibilitate pentru: toate modelele de Apple Watch
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7127: un cercetător anonim
Intrare adăugată pe 25 septembrie 2017
Wi-Fi
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2017-7103: Gal Beniamini (Google Project Zero)
CVE-2017-7105: Gal Beniamini (Google Project Zero)
CVE-2017-7108: Gal Beniamini (Google Project Zero)
CVE-2017-7110: Gal Beniamini (Google Project Zero)
CVE-2017-7112: Gal Beniamini (Google Project Zero)
Wi-Fi
Disponibilitate pentru: toate modelele de Apple Watch
Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea citi memoria kernel restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2017-7116: Gal Beniamini (Google Project Zero)
zlib
Disponibilitate pentru: toate modelele de Apple Watch
Impact: probleme multiple în zlib
Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 1.2.11.
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
Intrare adăugată pe 25 septembrie 2017
Alte mențiuni
Securitate
Dorim să-i mulțumim lui Abhinav Bansal (Zscaler, Inc.) pentru asistența acordată.