Om säkerhetsinnehållet i watchOS 3.1.3

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 3.1.3.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

watchOS 3.1.3

Släppt 23 januari 2017

Konton

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Auktorisationsinställningarna nollställdes inte när en app avinstallerades

Beskrivning: Det förekom ett problem som ledde till att auktorisationsinställningarna inte nollställdes vid avinstallation av appar. Problemet åtgärdades genom förbättrad sanering.

CVE-2016-7651: Ju Zhu och Lilang Wu på Trend Micro

Server för PN-tjänst

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En angripare i en privilegierad nätverksposition kan spåra en användares aktivitet

Beskrivning: Ett klientcertifikat skickades i klartext. Problemet åtgärdades genom förbättrad certifikathantering.

CVE-2017-2383: Matthias Wachs och Quirin Scheitle på Technical University Munich (TUM)

Lades till 28 mars 2017

Ljud

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av en felaktigt utformad fil kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7658: Haohao Kong från Keen Lab (@keen_lab) på Tencent

CVE-2016-7659: Haohao Kong från Keen Lab (@keen_lab) på Tencent

CoreFoundation

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av skadliga strängar kan leda till en oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Ett minnesfel förekom i bearbetningen av strängar. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-7663: en anonym forskare

CoreGraphics

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Bearbetning av en skadligt utformad teckensnittsfil kan leda till oväntad programavslutning

Beskrivning: En nollpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-7627: TRAPMINE Inc. och Meysam Firouzi @R00tkitSMM

Uppspelning av CoreMedia

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av en felaktigt utformad MP4-fil kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7588: dragonltx på Huawei 2012 Laboratories

CoreText

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

CVE-2016-7595: riusksk(泉哥) på Tencent Security Platform-avdelningen

Skivavbilder

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7616: daybreaker@Minionz i samarbete med Trend Micros Zero Day Initiative

FontParser

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Flera minnesfel förekom i hanteringen av teckensnittsfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

CVE-2016-4691: riusksk(泉哥) på Tencents Security Platform-avdelning

FontParser

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av en felaktigt utformad typsnittsfil kan leda till körning av godtycklig kod

Beskrivning: Ett buffertspill förekom i hanteringen av typsnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

CVE-2016-4688: Simon Huang på företaget Alipay, thelongestusernameofall@gmail.com

ICU

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7594: André Bargull

ImageIO

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.

CVE-2016-7643: Yangkang (@dnpushme) på Qihoo360 Qex Team

IOHIDFamily

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Det kan hända att ett lokalt program med systembehörighet kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7591: daybreaker på Minionz

IOKit

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan läsa kärnminnet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7657: Keen Lab i samarbete med Trend Micros Zero Day Initiative

IOKit

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En lokal användare kan ta reda på schemat för kärnminnet

Beskrivning: Ett problem med delat minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7714: Qidan He (@flanker_hqd) på KeenLab i samarbete med Trend Micros Zero Day Initiative

Lades till 25 januari 2017

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Flera minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7606: Chen Qin från Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan läsa kärnminnet

Beskrivning: Ett problem med otillräcklig initiering åtgärdades genom att minne som returnerats till användarutrymmet initierades korrekt.

CVE-2016-7607: Brandon Azad

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2016-7615: Storbritanniens National Cyber Security Centre (NCSC)

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En lokal användare kan orsaka oväntad systemavslutning eller körning av opålitlig kod i kärnan

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7621: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En lokal användare kan få tillgång till rotbehörigheter

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2016-7637: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Det kan hända att ett lokalt program med systembehörighet kan köra opålitlig kod med kärnprivilegier

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2016-7644: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan orsaka att åtkomst till tjänsten nekas

Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad minneshantering.

CVE-2016-7647: Lufeng Li på Qihoo 360 Vulcan Team

Lades till 17 maj 2017

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-2370: Ian Beer på Google Project Zero

Kärna

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

CVE-2017-2360: Ian Beer på Google Project Zero

libarchive

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En lokal angripare kan skriva över befintliga filer

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2016-7619: en anonym forskare

libarchive

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2016-8687: Agostino Sarubbo på Gentoo

Profiler

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Öppnande av ett skadligt certifikat leda till körning av opålitlig kod

Beskrivning: Ett minnesfel förekom i hanteringen av certifikatprofiler. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Säkerhet

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En angripare kan få möjlighet att utnyttja svagheter i den kryptografiska algoritmen 3DES

Beskrivning: 3DES togs bort som standardchiffer.

CVE-2016-4693: Gaëtan Leurent och Karthikeyan Bhargavan från INRIA Paris

Säkerhet

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En angripare i en privilegierad nätverksposition kan orsaka att tjänsten nekas

Beskrivning: Ett valideringsproblem förekom i hanteringen av OSCP:s svarsadresser. Problemet åtgärdades genom att OCSP-återkallandestatus verifierades efter CA-valideringen och genom att antalet OCSP-begäranden per certifikat begränsades.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Säkerhet

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Certifikat kan oväntat utvärderas som betrodda

Beskrivning: Det fanns ett utvärderingsfel i certifikatvalideringen. Problemet åtgärdades genom ytterligare validering av certifikat.

CVE-2016-7662: Apple

syslog

Tillgänglig för: Alla Apple Watch-modeller

Effekt: En lokal användare kan få tillgång till rotbehörigheter

Beskrivning: Ett problem i mach-portnamnsreferenser åtgärdades genom förbättrad validering.

CVE-2016-7660: Ian Beer på Google Project Zero

Lås upp med iPhone

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Apple Watch kan låsas upp när den inte befinner sig på användarens handled

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2017-2352: Ashley Fernandez på raptAware Pty Ltd

Informationen uppdaterades 25 januari 2017

WebKit

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan leda till körning av godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2016-7589: Apple

WebKit

Tillgänglig för: Alla Apple Watch-modeller

Effekt: Bearbetning av felaktigt utformat webbinnehåll kan orsaka åtkomst till data från flera källor

Beskrivning: Flera valideringsproblem förekom i hanteringen av inläsning av sidor. Problemet åtgärdades genom förbättrad logik.

CVE-2017-2363: lokihardt på Google Project Zero

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: