Om sikkerhedsindholdet i watchOS 2.1
Dette dokument beskriver sikkerhedsindholdet i watchOS 2.1.
Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Læs mere om Apple-produktsikkerhed på webstedet om Apple-produktsikkerhed.
Du kan finde flere oplysninger om PGP-nøglen til Apple Produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.
Hvor det er muligt, bruges der CVE-id'er som reference til yderligere oplysninger om sårbarheder.
Du kan læse om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.
watchOS 2.1
AppSandbox
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program kan opretholde adgangen til kontakter, efter at adgangen er tilbagekaldt
Beskrivelse: Der var et problem med håndtering af faste forbindelser i sandbox. Problemet er løst ved forbedret hærdning af app-sandbox.
CVE-id
CVE-2015-7001: Razvan Deaconescu og Mihai Bucicoiu fra University POLITEHNICA i Bukarest, Luke Deshotels og William Enck fra North Carolina State University, Lucas Vincenzo Davi og Ahmad-Reza Sadeghi fra TU Darmstadt
Komprimering
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med adgang til ikke-initialiseret hukommelse i zlib. Problemet er løst ved forbedret initialisering af hukommelsen samt yderligere godkendelse af zlib-streams.
CVE-id
CVE-2015-7054: j00ru
CoreGraphics
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.
CVE-id
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team
Afspilning af CoreMedia
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af mediearkiver i forkert format. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7075
dyld
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med segmentgodkendelse i dyld. Problemet er løst ved forbedret rensning af omgivelserne.
CVE-id
CVE-2015-7072: Apple
FontParser
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse ved behandling af skriftarkiver. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-6978: Jaanus Kp, Clarified Security, der arbejder for HPs Zero Day Initiative
GasGauge
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-6979: PanguTeam
ImageIO
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse i ImageIO. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7053: Apple
IOHIDFamily
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i IOHIDFamily. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7111: beist og ABH fra BoB
CVE-2015-7112: Ian Beer fra Google Project Zero
IOKit SCSI
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med kernelrettigheder
Beskrivelse: Der var en dereference til en null-pointer under håndtering af en bestemt userclient-type. Problemet er løst ved forbedret godkendelse.
CVE-id
CVE-2015-7068: Ian Beer fra Google Project Zero
Kernel
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et lokalt program kan muligvis fremkalde Denial of Service
Beskrivelse: Der var flere Denial of Service-problemer, som er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7040: Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li fra Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)
Kernel
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernelrettigheder
Beskrivelse: Der var et problem med parsing af mach-meddelelser. Problemet er løst ved forbedret godkendelse af mach-meddelelser.
CVE-id
CVE-2015-7047: Ian Beer fra Google Project Zero
Kernel
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernelrettigheder
Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7083: Ian Beer fra Google Project Zero
CVE-2015-7084: Ian Beer fra Google Project Zero
LaunchServices
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af plists i forkert format. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7113: Olivier Goguel fra Free Tools Association
libarchive
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af arkiver. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2011-2895: @practicalswift
libc
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Behandling af en skadelig pakke kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere bufferoverløb i C-standardbiblioteket. Problemerne er løst ved forbedret kontrol af grænser.
CVE-id
CVE-2015-7038: Brian D. Wells fra E. W. Scripps, Narayan Subramanian fra Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Post opdateret den 3. marts 2017
mDNSResponder
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et lokalt program kan muligvis fremkalde Denial of Service
Beskrivelse: Et problem med dereference til en null-pointer er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7988: Alexandre Helie
OpenGL
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i OpenGL. Problemerne er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7064: Apple
CVE-2015-7066: Tongbo Luo og Bo Qu fra Palo Alto Networks
Sandbox
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Et skadeligt program med rodrettigheder kan måske tilsidesætte kernel-ASLR (Address Space Layout Randomization)
Beskrivelse: Der var et problem med adskillelse af utilstrækkelige rettigheder i xnu. Dette problem er løst ved forbedret adgangskontrol.
CVE-id
CVE-2015-7046: Apple
Sikkerhed
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: En hacker kan forårsage uventet programlukning eller kørsel af vilkårlig kode
Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af SSL-handshakes. Problemet er løst ved forbedret håndtering af hukommelsen.
CVE-id
CVE-2015-7073: Benoit Foucher fra ZeroC, Inc.
Sikkerhed
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: Behandling af et skadeligt certifikatarkiv kan medføre kørsel af vilkårlig kode
Beskrivelse: Der var flere problemer med beskadiget hukommelse i ASN.1-dekoderen. Problemerne er løst ved forbedret godkendelse af input
CVE-id
CVE-2015-7059: David Keeler fra Mozilla
CVE-2015-7060: Tyson Smith fra Mozilla
CVE-2015-7061: Ryan Sleevi fra Google
Sikkerhed
Tilgængelig for: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès
Effekt: En tillidsevaluering, der er konfigureret til at kræve tilbagekaldskontrol, kan være positiv, selv om tilbagekaldskontrollen mislykkes
Beskrivelse: Indikatoren kSecRevocationRequirePositiveResponse var angivet, men ikke implementeret. Problemet er løst ved at implementere indikatoren.
CVE-id
CVE-2015-6997: Apple
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.