Sikkerhedsindholdet i watchOS 1.0.1

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 1.0.1.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og der foreligger relevante programrettelser eller versioner. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

watchOS 1.0.1

  • Politik for certifikatgodkendelse

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/kb/HT204873?viewlocale=da_DK

  • FontParser

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et program, der bruger NSXMLParser, kan misbruges til at afsløre oplysninger

    Beskrivelse: Der var et problem med XML-eksterne entiteter ved NSXMLParser-behandling af XML. Problemet er løst ved at undlade at indlæse eksterne entiteter på tværs af domæner.

    CVE-id

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i IOHIDFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-1096: Ilja van Sprundel fra IOActive

  • IOAcceleratorFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i IOAcceleratorFamily, som bevirkede, at der blev videregivet indhold fra kernehukommelsen. Problemet er løst ved at fjerne unødvendig kode.

    CVE-id

    CVE-2015-1094: Cererdlong fra Alibaba Mobile Security Team

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var en race-betingelse i kernens setreuid-systemkald. Problemet er løst ved at forbedre state management.

    CVE-id

    CVE-2015-1099: Mark Mentovai fra Google Inc.

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan muligvis omdirigere brugertrafik til vilkårlige værter

    Beskrivelse: ICMP-omdirigeringer er slået til som standard. Problemet er løst ved at slå ICMP-omdirigeringer fra.

    CVE-id

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En ekstern hacker kan muligvis fremkalde denial of service

    Beskrivelse: Der var en statusuoverensstemmelse ved behandling af out-of-band-data for TCP. Problemet er løst ved at forbedre state management.

    CVE-id

    CVE-2015-1105: Kenton Varda fra Sandstorm.io

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis udvide rettighederne ved hjælp af en beskadiget tjeneste, som er beregnet til at køre med færre rettigheder

    Beskrivelse: setreuid- og setregid-systemkaldene kunne ikke ophæve rettigheder permanent. Problemet er løst ved korrekt ophævelse af rettigheder.

    CVE-id

    CVE-2015-1117: Mark Mentovai fra Google Inc.

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker kan muligvis omgå netværksfiltre

    Beskrivelse: Systemet behandlede visse IPv6-pakker fra eksterne netværk som lokale pakker. Problemet er løst ved at afvise disse pakker.

    CVE-id

    CVE-2015-1104: Stephen Roettger fra Google Security Team

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var et problem med statusuoverensstemmelse ved behandling af TCP-headere. Problemet er løst ved forbedret statusbehandling.

    CVE-id

    CVE-2015-1102: Andrey Khudyakov og Maxim Zhuravlev fra Kaspersky Lab

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan medføre pludselig programlukning eller læsning af kernehukommelsen

    Beskrivelse: Der var et problem med overskredet hukommelsesadgang i kernen. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-1100: Maxime Villard fra m00nbsd

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-1101: lokihardt@ASRT, som arbejder for HP's Zero Day Initiative

  • Secure Transport

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser

    Beskrivelse: Secure Transport accepterede korte, kortvarige RSA-nøgler, som normalt kun bruges i RSA-chiffer-suiter med eksportstyrke, på forbindelser, der bruger RSA-chiffer-suiter med fuld styrke. Dette problem, der også kaldes FREAK, berørte kun forbindelser til servere, der understøtter RSA-chiffer-suiter med eksportstyrke, og problemet blev løst ved at fjerne understøttelse af kortvarige RSA-nøgler.

    CVE-id

    CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue fra Prosecco at Inria Paris

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: