Om sikkerhedsindholdet i watchOS 2.2
Dette dokument beskriver sikkerhedsindholdet i watchOS 2.2.
Af hensyn til vores kunders sikkerhed omtaler eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple Produktsikkerhed, kan du gå ind på webstedet Apple Produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple Produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.
Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
watchOS 2.2
Diskbilleder
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt køre en vilkårlig kode med kernel-privilegier
Beskrivelse: Der var et problem med beskadiget hukommelse ved parsing af diskbilleder. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2016-1717: Frank Graziano fra Yahoo! Pentest Team
FontParser
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Åbning af et skadeligt PDF-arkiv kan medføre pludselig programlukning eller muliggøre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.
CVE-id
CVE-2016-1740 : HappilyCoded (ant4g0nist and r3dsm0k3) arbejder med Trend Micro's Zero Day Initiative (ZDI)
HTTPProtocol
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode
Beskrivelse: Flere sårbarheder eksisterede i nghttp2 versioner før 1.6.0, den mest seriøse af dem kan risikere fjernkørsel af kode. Disse blev rettet ved at opdatere nghttp2 til version 1.6.0.
CVE-id
CVE-2015-8659
IOHIDFamily
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt køre en vilkårlig kode med kernel-privilegier
Beskrivelse: Flere hukommelseskorruptions-problemer blev rettet gennem bedre hukommelseshåndtering.
CVE-id
CVE-2016-1719: Ian Beer fra Google Project Zero
IOHIDFamily
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt finde ud hukommelses-layoutet af pågældende kernel.
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.
CVE-id
CVE-2016-1748 : Brandon Azad
Kernel
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt køre en vilkårlig kode med kernel-privilegier
Beskrivelse: Flere hukommelseskorruptions-problemer blev rettet gennem bedre hukommelseshåndtering.
CVE-id
CVE-2016-1720: Ian Beer fra Google Project Zero
CVE-2016-1721 : Ian Beer fra Google Project Zero og Ju Zhu fra Trend Micro
CVE-2016-1754 : Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2016-1755 : Ian Beer fra Google Project Zero
Kernel
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt køre en vilkårlig kode med kernel-privilegier
Beskrivelse: Et use-after-free problem blev rettet gennem forbedret hukommelseshåndtering.
CVE-id
CVE-2016-1750 : CESG
Kernel
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt køre en vilkårlig kode med kernel-privilegier
Beskrivelse: Flere heltalsoverløb blev rettet gennem forbedret inputvalidering.
CVE-id
CVE-2016-1753 : Juwei Lin Trend Micro arbejder med Trend Micro's Zero Day Initiative (ZDI)
Kernel
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En app kan tilsidesætte kodesignering
Beskrivelse: Et adgangsproblem eksisterede hvor kørselstilladelse af filer fejlagtigt blev givet ud. Dette problem blev rettet gennem forbedret tilladelsesvalidering.
CVE-id
CVE-2016-1751 : Eric Monti fra Square Mobile Security
Kernel
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt forårsage afvisning af service.
Beskrivelse: Et afvisning-af-service-problem blev rettet gennem forbedret validering.
CVE-id
CVE-2016-1752 : CESG
libxml2
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Flere hukommelseskorruptions-problemer blev rettet gennem bedre hukommelseshåndtering.
CVE-id
CVE-2015-1819
CVE-2015-5312 : David Drysdale fra Google
CVE-2015-7499
CVE-2015-7500 : Kostya Serebryany fra Google
CVE-2015-7942 : Kostya Serebryany fra Google
CVE-2015-8035 : gustavo.grieco
CVE-2015-8242 : Hugh Davenport
CVE-2016-1761 : wol0xff arbejder med Trend Micro's Zero Day Initiative (ZDI)
CVE-2016-1762
libxslt
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Behandlingen af skadeligt XML-indhold kan forårsage uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Et slags forvirringsproblem blev rettet gennem forbedret hukommelseshåndtering.
CVE-id
CVE-2015-7995 : puzzor
Beskeder
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En hacker som kan komme omkring Apple‹s certifikat-pinning, opfange TLS-forbindelser, injicere beskeder, og optage krypterede meddelelser med vedhæftede filer, kan potentielt læse disse vedhæftede filer
Beskrivelse: Et kryptografisk problem blev rettet ved at afvise dubletmeddelelser i applikationen.
CVE-id
CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers, og Michael Rushanan fra Johns Hopkins University
Sikkerhed
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Et hukommelseskorruptions-problem eksisterede i ASN.1 afkoderen. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2016-1950 : Francis Gabriel fra Quarkslab
syslog
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En applikation kan potentielt køre en vilkårlig kode med kernel-privilegier
Beskrivelse: Der var et problem med beskadiget hukommelse, som er løst ved forbedret hukommelsesbehandling.
CVE-id
CVE-2016-1722 : Joshua J. Drake og Nikias Bassen fra Zimperium zLabs
TrueTypeScaler
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2016-1775 : 0x1byte arbejder med Trend Micro's Zero Day Initiative (ZDI)
WebKit
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: Behandling af webindhold med ondsindet kode kan føre til vilkårlig kørsel af kode
Beskrivelse: Flere hukommelseskorruptions-problemer blev rettet gennem bedre hukommelseshåndtering.
CVE-id
CVE-2016-1723: Apple
CVE-2016-1724: Apple
CVE-2016-1725: Apple
CVE-2016-1726: Apple
CVE-2016-1727: Apple
Wi-Fi
Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermes
Effekt: En hacker med en privilegeret netværksposition kan muligvis forårsage kørsel af vilkårlig kode
Beskrivelse: Et rammevalidering- og hukommelseskorruptions-problem eksisterede for en given ethertype. Dette problem blev rettet gennem ekstra ethertype-validering og forbedret hukommelseshåndtering.
CVE-id
CVE-2016-0801 : en anonym forsker
CVE-2016-0802 : en anonym forsker
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.