Despre conținutul de securitate din watchOS 4

Acest document descrie conținutul de securitate din watchOS 4.

Despre actualizările de securitate Apple

Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.

Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.

Documentele de securitate Apple menționează vulnerabilitățile după ID CVE atunci când este posibil.

watchOS 4

Publicare: 19 septembrie 2017

802.1X

Disponibilitate pentru: toate modelele Apple Watch

Impact: un atacator ar putea exploata vulnerabilități din TLS 1.0

Descrierea: s-a rezolvat o problemă legată de securitatea protocoalelor prin activarea TLS 1.1 și TLS 1.2.

CVE-2017-13832: Doug Wussler (Florida State University)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

CFNetwork

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13829: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro) 

CVE-2017-13833: Niklas Baumstark și Samuel Gro în colaborare cu Zero Day Initiative (Trend Micro)

Adăugare intrare: 10 noiembrie 2017

Servere proxy CFNetwork

Disponibilitate pentru: toate modelele Apple Watch

Impact: un atacator dintr-o poziție privilegiată în rețea poate cauza o refuzare a serviciului

Descriere: au fost rezolvate mai multe probleme de refuzare a serviciilor (DoS) prin îmbunătățirea tratării memoriei.

CVE-2017-7083: Abhinav Bansal (Zscaler Inc.)

Intrare adăugată pe 25 septembrie 2017

CFString

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017

CoreAudio

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de citire în afara limitelor prin actualizarea la Opus versiunea 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) (Mobile Threat Research Team, Trend Micro)

Intrare adăugată pe 25 septembrie 2017

CoreText

Disponibilitate pentru: toate modelele Apple Watch

Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017

fișier

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în fișier

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 5.31.

CVE-2017-13815

Intrare adăugată pe 31 octombrie 2017

Fonturi

Disponibilitate pentru: toate modelele Apple Watch

Impact: redarea unui text care nu prezintă încredere ar putea duce la compromiterea adresei IP

Descriere: a fost rezolvată o problemă legată de inconstanța interfeței cu utilizatorul prin gestionarea îmbunătățită a stării.

CVE-2017-13828: Leonard Grey și Robert Sesek (Google Chrome)

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

HFS

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13830: Sergej Schumilo, Ruhr-University Bochum

Intrare adăugată pe 31 octombrie 2017

ImageIO

Disponibilitate pentru: toate modelele Apple Watch

Impact: procesarea unei imagini create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării intrării.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Intrare adăugată pe 31 octombrie 2017

ImageIO

Disponibilitate pentru: toate modelele Apple Watch

Impact: procesarea unei imagini create cu rea intenție poate cauza o refuzare a serviciului (DoS)

Descriere: a existat o problemă de divulgare de informații la procesarea imaginilor de disc. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.

CVE-2017-13831: Glen Carmichael

Intrare adăugată pe 31 octombrie 2017 și actualizată pe 10 noiembrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: un utilizator local poate citi memoria kernel

Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.

CVE-2017-13817: Maxime Villard (m00nbsd)

Intrare adăugată pe 31 octombrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate citi memorie restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-13818: National Cyber Security Centre (NCSC) (Marea Britanie)

CVE-2017-13836: Vlad Tsyrklevich, un cercetător anonim

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: un cercetător anonim

Adăugare intrare: 31 octombrie 2017. Actualizare intrare: 14 iunie 2018

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13843: un cercetător anonim, un cercetător anonim

Intrare adăugată pe 31 octombrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7114: Alex Plaskett (MWR InfoSecurity)

Intrare adăugată pe 25 septembrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-13854: shrek_wzw (Qihoo 360 Nirvan Team)

Intrare adăugată pe 2 noiembrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: procesarea unui fișier binar mach malformat poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de alterare a memoriei prin îmbunătățirea validării.

CVE-2017-13834: Maxime Villard (m00nbsd)

Adăugare intrare: 10 noiembrie 2017

Kernel

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație rău intenționată poate afla informații despre prezența și funcționarea altor aplicații pe dispozitiv.

Descriere: o aplicație putea accesa informații despre activitatea în rețea menținute nerestricționate de către sistemul de operare. Această problemă a fost rezolvată prin reducerea informațiilor disponibile pentru aplicații de la terțe părți.

CVE-2017-13873: Xiaokuan Zhang și Yinqian Zhang (Ohio State University), Xueqiang Wang și XiaoFeng Wang (Indiana University Bloomington) și Xiaolong Bai (Tsinghua University)

Intrare adăugată pe 30 noiembrie 2017

libarchive

Disponibilitate pentru: toate modelele Apple Watch

Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: a fost rezolvată o problemă de depășire a zonei-tampon prin îmbunătățirea tratării memoriei.

CVE-2017-13813: problemă găsită de OSS-Fuzz

CVE-2017-13816: problemă găsită de OSS-Fuzz

Intrare adăugată pe 31 octombrie 2017

libarchive

Disponibilitate pentru: toate modelele Apple Watch

Impact: Despachetarea unei arhive create cu rea intenție poate cauza executarea unui cod arbitrar

Descriere: în libarchive erau mai multe probleme de corupere a memoriei. Aceste probleme au fost rezolvate printr-o validare îmbunătățită a intrărilor.

CVE-2017-13812: problemă găsită de OSS-Fuzz

Intrare adăugată pe 31 octombrie 2017

libc

Disponibilitate pentru: toate modelele Apple Watch

Impact: un atacator aflat la distanță poate cauza o refuzare a serviciilor (DoS)

Descriere: a fost rezolvată o problemă de epuizare a resurselor în glob() printr-un algoritm îmbunătățit.

CVE-2017-7086: Russ Cox (Google)

Intrare adăugată pe 25 septembrie 2017

libc

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate provoca o refuzare a serviciului

Descriere: a fost rezolvată o problemă de consum a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-1000373

Intrare adăugată pe 25 septembrie 2017

libexpat

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în expat

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 2.2.1.

CVE-2016-9063

CVE-2017-9233

Intrare adăugată pe 25 septembrie 2017

Securitate

Disponibilitate pentru: toate modelele Apple Watch

Impact: un certificat revocat poate fi considerat ca fiind de încredere

Descriere: a existat o problemă de validare la tratarea datelor de revocare. Această problemă a fost rezolvată prin îmbunătățirea validării.

CVE-2017-7080: un cercetător anonim, Sven Driemecker de la adesso mobile solutions gmbh, un cercetător anonim, Rune Darrud (@theflyingcorpse) de la Bærum kommune

Intrare adăugată pe 25 septembrie 2017

SQLite

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în SQLite

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 3.19.3.

CVE-2017-10989: problemă găsită de OSS-Fuzz

CVE-2017-7128: problemă găsită de OSS-Fuzz

CVE-2017-7129: problemă găsită de OSS-Fuzz

CVE-2017-7130: problemă găsită de OSS-Fuzz

Intrare adăugată pe 25 septembrie 2017

SQLite

Disponibilitate pentru: toate modelele Apple Watch

Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7127: un cercetător anonim

Intrare adăugată pe 25 septembrie 2017

Wi-Fi

Disponibilitate pentru: toate modelele Apple Watch

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea executa cod arbitrar cu privilegii de kernel în procesorul aplicației

Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.

CVE-2017-7103: Gal Beniamini (Google Project Zero)

CVE-2017-7105: Gal Beniamini (Google Project Zero)

CVE-2017-7108: Gal Beniamini (Google Project Zero)

CVE-2017-7110: Gal Beniamini (Google Project Zero)

CVE-2017-7112: Gal Beniamini (Google Project Zero)

Wi-Fi

Disponibilitate pentru: toate modelele Apple Watch

Impact: un cod rău intenționat executat pe chipul Wi-Fi ar putea citi memoria kernel restricționată

Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.

CVE-2017-7116: Gal Beniamini (Google Project Zero)

zlib

Disponibilitate pentru: toate modelele Apple Watch

Impact: probleme multiple în zlib

Descriere: au fost rezolvate mai multe probleme prin actualizare la versiunea 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Intrare adăugată pe 25 septembrie 2017

Alte mențiuni

Securitate

Dorim să-i mulțumim lui Abhinav Bansal (Zscaler, Inc.) pentru asistența acordată.

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării:Mon Jun 25 19:17:02 GMT 2018