为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。
有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。
如果可能,请使用 CVE ID 来查阅漏洞的详细信息。
要了解其他安全性更新,请参阅“Apple 安全性更新”。
watchOS 2.2.1
CommonCrypto
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:恶意应用程序可能会泄露敏感用户信息
说明:处理 CCCrypt 中的返回值时存在问题。这一问题已通过改进密钥长度管理得到解决。
CVE-ID
CVE-2016-1802:Klaus Rodewig
CoreCapture
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:空指针取消引用问题已通过改进验证得到解决。
CVE-ID
CVE-2016-1803:Google Project Zero 的 Ian Beer、与 Trend Micro 的 Zero Day Initiative 合作的 daybreaker
磁盘映像
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:本地攻击者可能会读取内核内存
说明:竞态条件问题已通过改进锁定得到解决。
CVE-ID
CVE-2016-1807:Google Project Zero 的 Ian Beer
磁盘映像
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:解析磁盘映像时存在内存损坏问题。这一问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1808:Trend Micro 的 Moony Li (@Flyic) 和 Jack Tang (@jacktang310)
ImageIO
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:处理恶意制作的映像可能会导致服务遭拒
说明:空指针取消引用问题已通过改进验证得到解决。
CVE-ID
CVE-2016-1811:Lander Brandt (@landaire)
IOAcceleratorFamily
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1817:Trend Micro 的 Moony Li (@Flyic) 和 Jack Tang (@jacktang310)(与 Trend Micro 的 Zero Day Initiative 合作)
CVE-2016-1818:Trend Micro 的 Juwei Lin,与 Trend Micro 的 Zero Day Initiative 合作的 sweetchip@GRAYHASH
这个条目更新于 2016 年 12 月 13 日
IOAcceleratorFamily
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:内存损坏漏洞已通过改进锁定得到解决。
CVE-ID
CVE-2016-1819:Google Project Zero 的 Ian Beer
IOAcceleratorFamily
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:空指针取消引用问题已通过改进验证得到解决。
CVE-ID
CVE-2016-1813:Google Project Zero 的 Ian Beer
IOHIDFamily
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1823:Google Project Zero 的 Ian Beer
CVE-2016-1824:腾讯科恩实验室 (@keen_lab) 的 Marco Grassi (@marcograss)
内核
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:某个应用程序可能会利用内核权限执行任意代码
说明:多个内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1827:Brandon Azad
CVE-2016-1828:Brandon Azad
CVE-2016-1829:CESG
CVE-2016-1830:Brandon Azad
libc
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:本地攻击者可能会导致应用程序意外终止或任意代码执行
说明:内存损坏问题已通过改进输入验证得到解决。
CVE-ID
CVE-2016-1832:Karl Williamson
libxml2
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:处理恶意制作的 XML 可能会导致应用程序意外终止或任意代码执行
说明:多个内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1833:Mateusz Jurczyk
CVE-2016-1834:Apple
CVE-2016-1836:南洋理工大学的 Wei Lei 和 Liu Yang
CVE-2016-1837:南洋理工大学的 Wei Lei 和 Liu Yang
CVE-2016-1838:Mateusz Jurczyk
CVE-2016-1839:Mateusz Jurczyk
CVE-2016-1840:Kostya Serebryany
libxslt
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
说明:内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1841:Sebastian Apelt
MapKit
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:拥有特权网络地位的攻击者可能会泄露敏感用户信息
说明:共享的链接是以 HTTP 而不是 HTTPS 发送的。这一问题已通过为共享的链接启用 HTTPS 得到解决。
CVE-ID
CVE-2016-1842:Richard Shupak (https://www.linkedin.com/in/rshupak)
OpenGL
适用于:Apple Watch Sport、Apple Watch、Apple Watch Edition 和 Apple Watch Hermès
影响:处理恶意制作的 Web 内容可能会导致任意代码执行
说明:多个内存损坏问题已通过改进内存处理得到解决。
CVE-ID
CVE-2016-1847:Palo Alto Networks 的 Tongbo Luo 和 Bo Qu