Om sikkerhedsindholdet i watchOS 2.2.2

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 2.2.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

watchOS 2.2.2

CoreGraphics

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4632: Evgeny Sidorov fra Yandex

ImageIO

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7705: Craig Young fra Tripwire VERT

IOAcceleratorFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret validering.

CVE-2016-4627: Ju Zhu fra Trend Micro

IOAcceleratorFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-4628: Ju Zhu fra Trend Micro

IOHIDFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-4626: Stefan Esser fra SektionEins

IOHIDFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4650: Peter Pi fra Trend Micro, som arbejder med HP's Zero Day Initiative

Kernel

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1863: Ian Beer fra Google Project Zero

CVE-2016-4653: Ju Zhu fra Trend Micro

CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent

Libc

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et bufferoverløb i funktionen "link_ntoa()" i linkaddr.c. Problemet blev løst ved hjælp af yderligere kontrol af grænser.

CVE-2016-6559: Apple

libxml2

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Flere sikkerhedsrisici i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4447: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxml2

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et adgangsproblem i forbindelse med parsing af skadelige XML-arkiver. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-4449: Kostya Serebryany

libxslt

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Sandbox-profiler

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et lokalt program kan muligvis få adgang til proceslisten

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.

CVE-2016-4594: Stefan Esser fra SektionEins