Om sikkerhedsindholdet i watchOS 2
I dette dokument beskrives sikkerhedsindholdet i watchOS 2.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen om Apples sikkerhedsopdateringer.
watchOS 2
Apple Pay
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Nogle kort kan gøre det muligt for en terminal at hente begrænsede mængder oplysninger om nylige transaktioner, når der foretages en betaling
Beskrivelse: Transaktionslogfunktionen var slået til i nogle konfigurationer. Problemet er løst ved at fjerne transaktionslogfunktionen.
CVE-id
CVE-2015-5916
Audio
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejleder: prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea
Certificate Trust Policy
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Opdatering af politikken for certifikatgodkendelse
Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses på https://support.apple.com/HT204873.
CFNetwork
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser
Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.
CVE-id
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted
Beskrivelse: Der var et problem ved behandling af svar fra en proxyforbindelse. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.
CVE-id
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet
Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af domæner på topniveau. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.
CVE-id
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University
CFNetwork
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse bufferdata fra Apple-apps
Beskrivelse: Bufferdata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere bufferdataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens kode.
CVE-id
CVE-2015-5898: Andreas Kurtz fra NESO Security Labs
CoreCrypto
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En hacker kan muligvis bestemme en privat nøgle
Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.
CoreText
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod problemer med beskadiget hukommelse ved behandling af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)
Dev Tools
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5876: beist fra grayhash
Disk Images
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Et program kan muligvis tilsidesætte kodesignering
Beskrivelse: Der var et problem med godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Flere sikkerhedsrisici i ICU
Beskrivelse: Der var flere sikkerhedsrisici i versioner af ICU fra før 53.1.0. Disse problemer blev løst ved at opdatere ICU til version 55.1.
CVE-id
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand fra Google Project Zero
IOAcceleratorFamily
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen
Beskrivelse: Der var et problem, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.
CVE-id
CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team
IOAcceleratorFamily
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOAcceleratorFamily. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5848: Filippo Bigarella
IOKit
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i IOMobileFrameBuffer. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal hacker kan muligvis læse kernehukommelsen
Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5863: Ilja van Sprundel fra IOActive
Kernel
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Kernel
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal hacker kan muligvis styre værdien af stakcookies
Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemet er løst ved forbedret generering af stakcookies.
CVE-id
CVE-2013-3951: Stefan Esser
Kernel
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol
Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.
CVE-id
CVE-2015-5882: Pedro Vilaça, der arbejder videre på oprindelig research foretaget af Ming-chieh Pan og Sung-ting Tsai, Jonathan Levin
Kernel
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En hacker i et lokalt LAN-segment kan muligvis deaktivere IPv6-routing
Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.
CVE-id
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen
Beskrivelse: Der var et problem i XNU, som medførte afsløring af kernehukommelsen. Problemet er løst ved forbedret initialisering af strukturerne for kernehukommelsen.
CVE-id
CVE-2015-5842: beist fra grayhash
Kernel
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet
Beskrivelse: Der var et problem med HFS-drevaktivering. Problemet er løst ved at indføre yderligere godkendelseskontroller.
CVE-id
CVE-2015-5748: Maxime Villard fra m00nbsd
libpthread
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
PluginKit
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: En skadelig virksomhedsapp kan installere udvidelser, før appen er blevet godkendt
Beskrivelse: Der var et problem med godkendelse af udvidelser under installering. Problemet er løst ved forbedret appbekræftelse.
CVE-id
CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.
removefile
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Behandling af skadelige data kan medføre pludselig applukning
Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.
CVE-id
CVE-2015-5840: en anonym programmør
SQLite
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Flere sikkerhedsrisici i SQLite v3.8.5
Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Disse problemer blev løst ved at opdatere SQLite til version 3.8.10.2.
CVE-id
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i Tidy. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.