Om säkerhetsinnehållet i watchOS 3.2
Det här dokumentet beskriver säkerhetsinnehållet i watchOS 3.2.
Om säkerhetsuppdateringar från Apple
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.
Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-produktsäkerhetsnyckel från Apple.
Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.
watchOS 3.2
Ljud
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad ljudfil kan leda till körning av godtycklig kod
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2430: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
CVE-2017-2462: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
Carbon
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad .dfont-fil kan leda till godtycklig kodkörning
Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-2017-2379: riusksk (泉哥) från Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad bild kan leda till att åtkomsten till tjänsten nekas
Beskrivning: Obegränsad rekursion åtgärdades genom förbättrad tillståndshantering.
CVE-2017-2417: riusksk (泉哥) på Tencent Security Platform Department
CoreGraphics
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till godtycklig kodkörning
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2444: Mei Wang på 360 GearTeam
CoreText
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av ett felaktigt utformat textmeddelande kan leda till att åtkomsten till tjänsten begränsas
Beskrivning: Ett problem med resursutmattning åtgärdades genom förbättrad indatavalidering.
CVE-2017-2461: En anonym forskare, Isaac Archambault på IDAoADI
FontParser
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till godtycklig kodkörning
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2487: riusksk (泉哥) på Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) på Tencent Security Platform Department
FontParser
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Tolkning av en felaktigt utformad typsnittsfil kan leda till oväntad programavslutning eller godtycklig kodkörning
Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2407: riusksk (泉哥) på Tencent Security Platform Department
FontParser
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas
Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Tillgänglig för: Alla Apple Watch-modeller
Effekt: En skadlig HTTP/2-server kan orsaka odefinierat beteende
Beskrivning: Flera fel förekom i nghttp2 före 1.17.0. Dessa åtgärdades genom att uppdatera nghttp2 till version 1.17.0.
CVE-2017-2428
ImageIO
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad bildfil kan ge upphov till godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) från KeenLab, Tencent
ImageIO
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Visning av en felaktigt utformad JPEG-fil kan leda till godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2432: En anonym forskare i samarbete med Trend Micros Zero Day Initiative
ImageIO
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad fil kan leda till oväntad programavslutning eller godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2467
ImageIO
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av en felaktigt utformad bild kan leda till att program avslutas oväntat
Beskrivning: Ett problem med läsning utanför gränserna förekom i LibTIFF-versioner före 4.0.7. Det åtgärdades genom uppdatering av LibTIFF i ImageIO till version 4.0.7.
CVE-2016-3619
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2401: Lufeng Li på Qihoo 360 Vulcan Team
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett problem med heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-2017-2440: En anonym forskare
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett skadligt program kan köra godtycklig kod med rotbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad minneshantering.
CVE-2017-2456: lokihardt på Google Project Zero
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2472: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett skadligt program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.
CVE-2017-2473: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett problem med förskjutning åtgärdades genom förbättrad kontroll av gränserna.
CVE-2017-2474: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett konkurrenstillstånd åtgärdades genom förbättrad låsning.
CVE-2017-2478: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med kernelbehörighet
Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.
CVE-2017-2482: Ian Beer på Google Project Zero
CVE-2017-2483: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra opålitlig kod med högre privilegier
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-2017-2490: Ian Beer på Google Project Zero, Storbritanniens National Cyber Security Centre (NCSC)
Tangentbord
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod
Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Tillgänglig för: Alla Apple Watch-modeller
Effekt: En lokal angripare kan ändra filsystembehörigheter på godtyckliga kataloger
Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.
CVE-2017-2390: Omer Medan på enSilo Ltd
libc++abi
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Avkodning av skadligt C++-program kan leda till körning av godtycklig kod
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2441
libxslt
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Flera sårbarheter i libxslt
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-2017-5029: Holger Fuhrmannek
Säkerhet
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Ett program kan köra godtycklig kod med rotbehörigheter
Beskrivning: Ett buffertspill åtgärdades genom förbättrad gränskontroll.
CVE-2017-2451: Alex Radocea på Longterm Security, Inc.
Säkerhet
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av ett felaktigt utformat x509-certifikat kan leda till körning av godtycklig kod
Beskrivning: Ett minnesfel förekom i tolkning av certifikat. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-2017-2485: Aleksandar Nikolic på Cisco Talos
WebKit
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till godtycklig kodkörning
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-2017-2415: Kai Kang på Tencents Xuanwu Lab (tencent.com)
WebKit
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till hög minnesförbrukning
Beskrivning: Ett problem med okontrollerad resursförbrukning åtgärdades genom förbättrad regex-bearbetning.
CVE-2016-9643: Gustavo Grieco
WebKit
Tillgänglig för: Alla Apple Watch-modeller
Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till godtycklig kodkörning
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-2017-2471: Ivan Fratric på Google Project Zero
Ytterligare tack
XNU
Vi vill tacka Lufeng Li på Qihoo 360 Vulcan Team för deras hjälp.
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.