关于 watchOS 4 的安全性内容
本文介绍了 watchOS 4 的安全性内容。
关于 Apple 安全性更新
为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。
如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。
如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。
watchOS 4
802.1X
适用于:所有 Apple Watch 机型
影响:攻击者或许能够利用 TLS 1.0 中的漏洞
描述:已通过启用 TLS 1.1 和 TLS 1.2 解决协议安全问题。
CVE-2017-13832: Doug Wussler of Florida State University
CFNetwork
适用于:所有 Apple Watch 机型
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-13829: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative
CVE-2017-13833: Niklas Baumstark and Samuel Gro working with Trend Micro's Zero Day Initiative
CFNetwork 代理
适用于:所有 Apple Watch 机型
影响:拥有特权网络地位的攻击者或许能够导致服务遭拒
描述:已通过改进内存处理解决多个服务遭拒问题。
CVE-2017-7083: Abhinav Bansal of Zscaler Inc.
CFString
适用于:所有 Apple Watch 机型
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate
CoreAudio
适用于:所有 Apple Watch 机型
影响:应用程序或许能够读取受限内存
描述:已通过更新至 Opus 版本 1.1.4 解决越界读取问题。
CVE-2017-0381: V.E.O (@VYSEa) of Mobile Threat Research Team, Trend Micro
CoreText
适用于:所有 Apple Watch 机型
影响:处理恶意制作的字体文件可能会导致任意代码执行
描述:已通过改进内存处理解决内存消耗问题。
CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate
file
适用于:所有 Apple Watch 机型
影响:file 中存在多个问题
说明:已通过更新至版本 5.31 解决多个问题。
CVE-2017-13815: found by OSS-Fuzz
字体
适用于:所有 Apple Watch 机型
影响:渲染不可信的文本可能会导致欺诈问题
描述:已通过改进状态管理解决用户界面不一致问题。
CVE-2017-13828: Leonard Grey and Robert Sesek of Google Chrome
HFS
适用于:所有 Apple Watch 机型
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-13830: Sergej Schumilo of Ruhr-University Bochum
ImageIO
适用于:所有 Apple Watch 机型
影响:处理恶意制作的图像可能会导致任意代码执行
描述:已通过改进输入验证解决内存损坏问题。
CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate
ImageIO
适用于:所有 Apple Watch 机型
影响:处理恶意制作的图像可能会导致服务遭拒
描述:已通过改进输入验证解决内存损坏问题。
CVE-2017-13831: Glen Carmichael
内核
适用于:所有 Apple Watch 机型
影响:本地用户或许能够读取内核内存
描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。
CVE-2017-13817: Maxime Villard (m00nbsd)
内核
适用于:所有 Apple Watch 机型
影响:应用程序或许能够读取受限内存
描述:已通过改进输入清理解决验证问题。
CVE-2017-13818: The UK's National Cyber Security Centre (NCSC)
CVE-2017-13836: Vlad Tsyrklevich
CVE-2017-13841: Vlad Tsyrklevich
CVE-2017-13840: Vlad Tsyrklevich
CVE-2017-13842: Vlad Tsyrklevich
CVE-2017-13782: an anonymous researcher
内核
适用于:所有 Apple Watch 机型
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-13843: an anonymous researcher, an anonymous researcher
内核
适用于:所有 Apple Watch 机型
影响:应用程序或许能够以内核权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-7114: Alex Plaskett of MWR InfoSecurity
内核
适用于:所有 Apple Watch 机型
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-13854: shrek_wzw of Qihoo 360 Nirvan Team
内核
适用于:所有 Apple Watch 机型
影响:处理格式错误的 mach 二进制文件可能会导致任意代码执行
描述:已通过改进验证解决内存损坏问题。
CVE-2017-13834: Maxime Villard (m00nbsd)
内核
适用于:所有 Apple Watch 机型
影响:恶意应用程序或许能够获知设备上有哪些其他应用程序,以及这些应用程序的运行情况。
描述:应用程序能够在不受限制的情况下,访问由操作系统维护的网络活动信息。已通过减少第三方应用程序可获得的信息解决这个问题。
CVE-2017-13873: Xiaokuan Zhang and Yinqian Zhang of The Ohio State University, Xueqiang Wang and XiaoFeng Wang of Indiana University Bloomington, and Xiaolong Bai of Tsinghua University
libarchive
适用于:所有 Apple Watch 机型
影响:解压恶意制作的归档文件可能会导致任意代码执行
描述:已通过改进内存处理解决缓冲区溢出问题。
CVE-2017-13813: found by OSS-Fuzz
CVE-2017-13816: found by OSS-Fuzz
libarchive
适用于:所有 Apple Watch 机型
影响:解压恶意制作的归档文件可能会导致任意代码执行
说明:libarchive 中存在多个内存损坏问题。已通过改进输入验证解决这些问题。
CVE-2017-13812: found by OSS-Fuzz
libc
适用于:所有 Apple Watch 机型
影响:远程攻击者或许能够导致服务遭拒
描述:已通过改进算法解决 glob() 中的资源耗尽问题。
CVE-2017-7086: Russ Cox of Google
libc
适用于:所有 Apple Watch 机型
影响:应用程序或许能够导致服务遭拒
描述:已通过改进内存处理解决内存消耗问题。
CVE-2017-1000373
libexpat
适用于:所有 Apple Watch 机型
影响:expat 中存在多个问题
描述:已通过更新至版本 2.2.1 解决多个问题
CVE-2016-9063
CVE-2017-9233
libxml2
适用于:所有 Apple Watch 机型
影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行
描述:已通过改进内存管理解决“释放后使用”问题。
CVE-2017-9049: Wei Lei and Liu Yang - Nanyang Technological University in Singapore
libxml2
适用于:所有 Apple Watch 机型
影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行
描述:已通过改进内存处理解决缓冲区溢出问题。
CVE-2017-7376: an anonymous researcher
CVE-2017-5130: an anonymous researcher
libxml2
适用于:所有 Apple Watch 机型
影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行
描述:已通过改进输入验证解决内存损坏问题。
CVE-2017-9050: Mateusz Jurczyk (j00ru) of Google Project Zero
libxml2
适用于:所有 Apple Watch 机型
影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行
描述:已通过改进验证解决空指针取消引用问题。
CVE-2018-4302: Gustavo Grieco
安全性
适用于:所有 Apple Watch 机型
影响:已撤销的证书仍可能获得信任
描述:处理撤销数据时存在证书验证问题。已通过改进验证解决这个问题。
CVE-2017-7080: an anonymous researcher, Sven Driemecker of adesso mobile solutions gmbh, an anonymous researcher, Rune Darrud (@theflyingcorpse) of Bærum kommune
SQLite
适用于:所有 Apple Watch 机型
影响:SQLite 中存在多个问题
描述:已通过更新至版本 3.19.3 解决多个问题。
CVE-2017-10989: found by OSS-Fuzz
CVE-2017-7128: found by OSS-Fuzz
CVE-2017-7129: found by OSS-Fuzz
CVE-2017-7130: found by OSS-Fuzz
SQLite
适用于:所有 Apple Watch 机型
影响:应用程序或许能够以系统权限执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-7127: an anonymous researcher
Wi-Fi
适用于:所有 Apple Watch 机型
影响:Wi-Fi 芯片上执行的恶意代码或许能够以内核权限在应用程序处理器上执行任意代码
描述:已通过改进内存处理解决内存损坏问题。
CVE-2017-7103: Gal Beniamini of Google Project Zero
CVE-2017-7105: Gal Beniamini of Google Project Zero
CVE-2017-7108: Gal Beniamini of Google Project Zero
CVE-2017-7110: Gal Beniamini of Google Project Zero
CVE-2017-7112: Gal Beniamini of Google Project Zero
Wi-Fi
适用于:所有 Apple Watch 机型
影响:Wi-Fi 芯片上执行的恶意代码或许能够读取受限内核内存
描述:已通过改进输入清理解决验证问题。
CVE-2017-7116: Gal Beniamini of Google Project Zero
zlib
适用于:所有 Apple Watch 机型
影响:zlib 中存在多个问题
描述:已通过更新至版本 1.2.11 解决多个问题。
CVE-2016-9840
CVE-2016-9841
CVE-2016-9842
CVE-2016-9843
其他表彰
安全性
由衷感谢 Zscaler, Inc. 的 Abhinav Bansal 为我们提供的帮助。
有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。