关于 watchOS 4 的安全性内容

本文介绍了 watchOS 4 的安全性内容。

关于 Apple 安全性更新

为保护我们的客户,在没有进行调查并推出修补程序或发行版本之前,Apple 不会透露、讨论或确认安全性问题。“Apple 安全性更新”页面上列出了近期发布的版本。

如果需要了解有关安全性的更多信息,请参阅“Apple 产品安全性”页面。您可以使用 Apple 产品安全性 PGP 密钥对与 Apple 的通信进行加密。

如果可能,Apple 安全性文稿会引用 CVE-ID 中列出的安全漏洞。

watchOS 4

发布于 2017 年 9 月 19 日

802.1X

适用于:所有 Apple Watch 机型

影响:攻击者或许能够利用 TLS 1.0 中的漏洞

描述:已通过启用 TLS 1.1 和 TLS 1.2 解决协议安全问题。

CVE-2017-13832:佛罗里达州立大学的 Doug Wussler

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

CFNetwork

适用于:所有 Apple Watch 机型

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13829:与 Trend Micro 的 Zero Day Initiative 合作的 Niklas Baumstark 和 Samuel Gro

CVE-2017-13833:与 Trend Micro 的 Zero Day Initiative 合作的 Niklas Baumstark 和 Samuel Gro 

条目添加于 2017 年 11 月 10 日

CFNetwork 代理

适用于:所有 Apple Watch 机型

影响:拥有特权网络地位的攻击者或许能够导致服务遭拒

描述:已通过改进内存处理解决多个服务遭拒问题。

CVE-2017-7083:Zscaler, Inc. 的 Abhinav Bansal

条目添加于 2017 年 9 月 25 日

CFString

适用于:所有 Apple Watch 机型

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13821:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

CoreAudio

适用于:所有 Apple Watch 机型

影响:应用程序或许能够读取受限内存

描述:已通过更新至 Opus 版本 1.1.4 解决越界读取问题。

CVE-2017-0381:Trend Micro 的 Mobile Threat Research Team 的 V.E.O (@VYSEa)

条目添加于 2017 年 9 月 25 日

CoreText

适用于:所有 Apple Watch 机型

影响:处理恶意制作的字体文件可能会导致任意代码执行

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-13825:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

file

适用于:所有 Apple Watch 机型

影响:file 中存在多个问题

说明:已通过更新至版本 5.31 解决多个问题。

CVE-2017-13815

条目添加于 2017 年 10 月 31 日

字体

适用于:所有 Apple Watch 机型

影响:渲染不可信的文本可能会导致欺诈问题

描述:已通过改进状态管理解决用户界面不一致问题。

CVE-2017-13828:Google Chrome 的 Leonard Grey 和 Robert Sesek

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

HFS

适用于:所有 Apple Watch 机型

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13830:波鸿鲁尔大学的 Sergej Schumilo

条目添加于 2017 年 10 月 31 日

ImageIO

适用于:所有 Apple Watch 机型

影响:处理恶意制作的图像可能会导致任意代码执行

描述:已通过改进输入验证解决内存损坏问题。

CVE-2017-13814:澳大利亚网络安全中心 – 澳大利亚信号理事会

条目添加于 2017 年 10 月 31 日

ImageIO

适用于:所有 Apple Watch 机型

影响:处理恶意制作的图像可能会导致服务遭拒

说明:处理磁盘映像时存在信息泄漏问题。已通过改进内存管理解决这个问题。

CVE-2017-13831:Glen Carmichael

条目添加于 2017 年 10 月 31 日,更新于 2017 年 11 月 10 日

内核

适用于:所有 Apple Watch 机型

影响:本地用户或许能够读取内核内存

描述:存在导致内核内存泄露的越界读取问题。已通过改进输入验证解决这个问题。

CVE-2017-13817:Maxime Villard (m00nbsd)

条目添加于 2017 年 10 月 31 日

内核

适用于:所有 Apple Watch 机型

影响:应用程序或许能够读取受限内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-13818:英国国家网络安全中心 (NCSC)

CVE-2017-13836:一位匿名研究人员、一位匿名研究人员

CVE-2017-13841:一位匿名研究人员

CVE-2017-13840:一位匿名研究人员

CVE-2017-13842:一位匿名研究人员

CVE-2017-13782:一位匿名研究人员

条目添加于 2017 年 10 月 31 日

内核

适用于:所有 Apple Watch 机型

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13843:一位匿名研究人员、一位匿名研究人员

条目添加于 2017 年 10 月 31 日

内核

适用于:所有 Apple Watch 机型

影响:应用程序或许能够以内核权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7114:MWR InfoSecurity 的 Alex Plaskett

条目添加于 2017 年 9 月 25 日

内核

适用于:所有 Apple Watch 机型

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-13854:奇虎 360 Nirvan Team 的 shrek_wzw

条目添加于 2017 年 11 月 2 日

内核

适用于:所有 Apple Watch 机型

影响:处理错误的 mach 二进制可能会导致任意代码执行

描述:已通过改进验证解决内存损坏问题。

CVE-2017-13834:Maxime Villard (m00nbsd)

条目添加于 2017 年 11 月 10 日

libarchive

适用于:所有 Apple Watch 机型

影响:解压恶意制作的归档文件可能会导致任意代码执行

描述:已通过改进内存处理解决缓冲区溢出问题。

CVE-2017-13813:由 OSS-Fuzz 发现

CVE-2017-13816:由 OSS-Fuzz 发现

条目添加于 2017 年 10 月 31 日

libarchive

适用于:所有 Apple Watch 机型

影响:解压恶意制作的归档文件可能会导致任意代码执行

说明:libarchive 中存在多个内存损坏问题。已通过改进输入验证解决这些问题。

CVE-2017-13812:由 OSS-Fuzz 发现

条目添加于 2017 年 10 月 31 日

libc

适用于:所有 Apple Watch 机型

影响:远程攻击者或许能够导致服务遭拒

描述:已通过改进算法解决 glob() 中的资源耗尽问题。

CVE-2017-7086:Google 的 Russ Cox

条目添加于 2017 年 9 月 25 日

libc

适用于:所有 Apple Watch 机型

影响:应用程序或许能够导致服务遭拒

描述:已通过改进内存处理解决内存消耗问题。

CVE-2017-1000373

条目添加于 2017 年 9 月 25 日

libexpat

适用于:所有 Apple Watch 机型

影响:expat 中存在多个问题

描述:已通过更新至版本 2.2.1 解决多个问题

CVE-2016-9063

CVE-2017-9233

条目添加于 2017 年 9 月 25 日

安全性

适用于:所有 Apple Watch 机型

影响:已撤销的证书可能获得信任

描述:处理撤销数据时存在证书验证问题。已通过改进验证解决这个问题。

CVE-2017-7080:一位匿名研究人员、adesso mobile solutions gmbh 的 Sven Driemecker、一位匿名研究人员、Bærum kommune 的 Rune Darrud (@theflyingcorpse)

条目添加于 2017 年 9 月 25 日

SQLite

适用于:所有 Apple Watch 机型

影响:SQLite 中存在多个问题

描述:已通过更新至版本 3.19.3 解决多个问题。

CVE-2017-10989:由 OSS-Fuzz 发现

CVE-2017-7128:由 OSS-Fuzz 发现

CVE-2017-7129:由 OSS-Fuzz 发现

CVE-2017-7130:由 OSS-Fuzz 发现

条目添加于 2017 年 9 月 25 日

SQLite

适用于:所有 Apple Watch 机型

影响:应用程序或许能够以系统权限执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7127:一位匿名研究人员

条目添加于 2017 年 9 月 25 日

Wi-Fi

适用于:所有 Apple Watch 机型

影响:Wi-Fi 芯片上执行的恶意代码或许能够以内核权限在应用程序处理器上执行任意代码

描述:已通过改进内存处理解决内存损坏问题。

CVE-2017-7103:Google Project Zero 的 Gal Beniamini

CVE-2017-7105:Google Project Zero 的 Gal Beniamini

CVE-2017-7108:Google Project Zero 的 Gal Beniamini

CVE-2017-7110:Google Project Zero 的 Gal Beniamini

CVE-2017-7112:Google Project Zero 的 Gal Beniamini

Wi-Fi

适用于:所有 Apple Watch 机型

影响:Wi-Fi 芯片上执行的恶意代码或许能够读取受限内核内存

描述:已通过改进输入清理解决验证问题。

CVE-2017-7116:Google Project Zero 的 Gal Beniamini

zlib

适用于:所有 Apple Watch 机型

影响:zlib 中存在多个问题

描述:已通过更新至版本 1.2.11 解决多个问题。

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

条目添加于 2017 年 9 月 25 日

其他表彰

安全性

由衷感谢 Zscaler, Inc. 的 Abhinav Bansal 为我们提供的帮助。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: