Om säkerhetsinnehållet i watchOS 4

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 4.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

watchOS 4

Släpptes 19 september 2017

802.1X

Tillgängligt för: Alla Apple Watch-modeller

Effekt: En angripare kan exploatera svagheter i TLS 1.0

Beskrivning: Ett protokollsäkerhetsproblem åtgärdades genom att aktivera TLS 1.1 och TLS 1.2.

CVE-2017-13832: Doug Wussler på Florida State University

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

CFNetwork

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13829: Niklas Baumstark och Samuel Gro tillsammans med Trend Micros Zero Day Initiative 

CVE-2017-13833: Niklas Baumstark och Samuel Gro tillsammans med Trend Micros Zero Day Initiative

Posten lades till 10 november 2017

CFNetwork Proxies

Tillgängligt för: Alla Apple Watch-modeller

Effekt: En angripare i en privilegierad nätverksposition kan orsaka ett dos-angrepp

Beskrivning: Flera problem med dos-angrepp åtgärdades genom förbättrad minneshantering.

CVE-2017-7083: Abhinav Bansal på Zscaler Inc.

Posten lades till 25 september 2017

CFString

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

CoreAudio

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom uppdatering till Opus version 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) på Mobile Threat Research Team, Trend Micro

Posten lades till 25 september 2017

CoreText

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Bearbetning av en typsnittsfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

file

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Flera problem i file

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 5.31.

CVE-2017-13815

Lades till 31 oktober 2017

Typsnitt

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Rendering av opålitlig text kan leda till förfalskning

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2017-13828: Leonard Grey och Robert Sesek på Google Chrome

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

HFS

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13830: Sergej Schumilo på Ruhr-Universität Bochum

Lades till 31 oktober 2017

ImageIO

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Lades till 31 oktober 2017

ImageIO

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Bearbetning av en bild med skadligt innehåll kan leda till ett dos-angrepp

Beskrivning: Ett problem med avslöjande av information förekom i bearbetningen av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2017-13831: Glen Carmichael

Posten lades till 31 oktober 2017 och uppdaterades 10 november 2017

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Det förekom ett problem med läsning utanför gränserna som ledde till att kernelminne avslöjades. Detta har åtgärdats genom förbättrad indatavalidering.

CVE-2017-13817: Maxime Villard (m00nbsd)

Lades till 31 oktober 2017

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-13818: Storbritanniens National Cyber Security Centre (NCSC)

CVE-2017-13836: Vlad Tsyrklevich, anonym forskare

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: en anonym forskare

Posten lades till 31 oktober 2017 och uppdaterades 14 juni 2018

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13843: en anonym forskare, en anonym forskare

Lades till 31 oktober 2017

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-7114: Alex Plaskett på MWR InfoSecurity

Posten lades till 25 september 2017

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-13854: shrek_wzw på Qihoo 360 Nirvan Team

Posten lades till 2 november 2017

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Bearbetning av en felaktigt utformad mach binary-fil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad validering.

CVE-2017-13834: Maxime Villard (m00nbsd)

Posten lades till 10 november 2017

Kernel

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett skadligt program kan få reda på information om andra program och deras funktion på enheten.

Beskrivning: Ett program kunde utan begränsning få tillgång till information om nätverksaktivitet som hanteras av operativsystemet. Det här problemet åtgärdades genom att begränsa informationen som var tillgänglig för program från tredje part.

CVE-2017-13873: Xiaokuan Zhang och Yinqian Zhang på The Ohio State University, Xueqiang Wang och XiaoFeng Wang på Indiana University Bloomington och Xiaolong Bai på Tsinghua University

Posten lades till 30 november 2017

libarchive

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett problem med buffertspill åtgärdades genom förbättrad minneshantering.

CVE-2017-13813: hittades av OSS-Fuzz

CVE-2017-13816: hittades av OSS-Fuzz

Lades till 31 oktober 2017

libarchive

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Uppackning av ett arkiv med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Flera minnesfel förekom i libarchive. Dessa problem har åtgärdats genom förbättrad indatavalidering.

CVE-2017-13812: hittades av OSS-Fuzz

Lades till 31 oktober 2017

libc

Tillgängligt för: Alla Apple Watch-modeller

Effekt: En fjärrangripare kan orsaka ett dos-angrepp

Beskrivning: Ett problem med utmattning av resurser i glob() åtgärdades genom en förbättrad algoritm.

CVE-2017-7086: Russ Cox på Google

Posten lades till 25 september 2017

libc

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan orsaka ett dos-angrepp

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2017-1000373

Posten lades till 25 september 2017

libexpat

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Flera problem i expat

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 2.2.1

CVE-2016-9063

CVE-2017-9233

Posten lades till 25 september 2017

Säkerhet

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Återkallade certifikat kan bli betrodda

Beskrivning: Ett problem med certifikatvalideringen fanns vid hantering av återkallningsdata. Problemet har åtgärdats genom förbättrad validering.

CVE-2017-7080: en anonym forskare, Sven Driemecker på adesso mobile solutions gmbh, en anonym forskare, Rune Darrud (@theflyingcorpse) på Bærum kommune

Posten lades till 25 september 2017

SQLite

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Flera problem i SQLite

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 3.19.3

CVE-2017-10989: hittat av OSS-Fuzz

CVE-2017-7128: hittat av OSS-Fuzz

CVE-2017-7129: hittat av OSS-Fuzz

CVE-2017-7130: hittat av OSS-Fuzz

Posten lades till 25 september 2017

SQLite

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-7127: en anonym forskare

Posten lades till 25 september 2017

Wifi

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Körning av skadlig kod på wifi-chippet kan leda till körning av opålitlig kod med kernelbehörighet på programprocessorn

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2017-7103: Gal Beniamini på Google Project Zero

CVE-2017-7105: Gal Beniamini på Google Project Zero

CVE-2017-7108: Gal Beniamini på Google Project Zero

CVE-2017-7110: Gal Beniamini på Google Project Zero

CVE-2017-7112: Gal Beniamini på Google Project Zero

Wifi

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Körning av skadlig kod på wifi-chippet kan läsa begränsat kernelminne

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2017-7116: Gal Beniamini på Google Project Zero

zlib

Tillgängligt för: Alla Apple Watch-modeller

Effekt: Flera problem i zlib

Beskrivning: Flera problem åtgärdades genom att uppdatera till version 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Posten lades till 25 september 2017

Ytterligare tack

Säkerhet

Vi vill tacka Abhinav Bansal på Zscaler, Inc. för all hjälp.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: Mon Jun 25 22:53:11 GMT 2018