Om säkerhetsinnehållet i watchOS 3

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 3.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

watchOS 3

Släpptes 13 september 2016

Ljud

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park och Taekyoung Kwon på Information Security Lab, Yonsei University

Posten lades till 20 september 2016

CFNetwork

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av skadligt webbinnehåll kan leda till att användarinformation hamnar i orätta händer

Beskrivning: Ett indatavalideringsfel förekom i tolkningen av rubriken ”Ange cookie”. Problemet åtgärdades genom förbättrad valideringskontroll.

CVE-2016-4708: Dawid Czagan på Silesia Security Lab

Posten lades till 20 september 2016

CoreCrypto

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod

Beskrivning: Ett fel med skrivning utanför gränserna åtgärdades genom borttagning av den sårbara koden.

CVE-2016-4712: Gergo Koteles

Posten lades till 20 september 2016

FontParser

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av ett felaktigt utformat typsnitt kan leda till att processminnet avslöjas

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-4718: Apple

Posten lades till 20 september 2016

GeoServices

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan läsa känslig platsinformation

Beskrivning: Det fanns ett behörighetsproblem i PlaceData. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)

IOAcceleratorFamily

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till att processminnet visas

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-4725: Rodger Combs från Plex, Inc.

Posten lades till 20 september 2016

IOAcceleratorFamily

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4726: En anonym forskare

Posten lades till 20 september 2016

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett låshanteringsfel åtgärdades genom förbättrad låshantering.

CVE-2016-4772: Marc Heuse på mh-sec

Posten lades till 20 september 2016

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan ta reda på layouten för kärnminnet

Beskrivning: Det förekom ett flertal problem med läsning utanför gränserna som ledde till att kärnminne avslöjades. Problemen har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Posten lades till 20 september 2016

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kärnprivilegier

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4775: Brandon Azad

Posten lades till 20 september 2016

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: En obetrodd pekarreferens åtgärdades genom borttagning av den berörda koden.

CVE-2016-4777: Lufeng Li på Qihoo 360 Vulcan Team

Posten lades till 20 september 2016

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4778: CESG

Posten lades till 20 september 2016

libxml2

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Flera problem förekom i libxml2. Det allvarligaste av dessa kunde leda till oväntad programavslutning eller körning av opålitlig kod.

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Posten lades till 20 september 2016

libxslt

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4738: Nick Wellnhofer

Posten lades till 20 september 2016

Säkerhet

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

Beskrivning: Ett valideringsproblem förekom i signerade skivavbilder. Problemet åtgärdades genom förbättrad storleksvalidering.

CVE-2016-4753: Mark Mentovai på Google Inc.

Posten lades till 20 september 2016

WebKit

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4737: Apple

Posten lades till 20 september 2016

Wifi Manager

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Apptillägg kan få internetåtkomst

Beskrivning: Flera problem med policyefterlevnad med wifi-delning. Problemen åtgärdades genom förbättrade behörighetskontroller.

CVE-2016-7699: Proteas på Qihoo 360 Nirvan Team

Lades till 17 maj 2017

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: