Sikkerhedsindholdet i watchOS 2

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 2.

For at beskytte vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og der foreligger relevante programrettelser eller versioner. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Yderligere oplysninger om PGP-nøglen til Apple-produktsikkerhed kan ses i artiklen Sådan bruges PGP-nøglen til Apple-produktsikkerhed.

Hvor det er muligt, anvendes der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen Apple-sikkerhedsopdateringer.

watchOS 2

  • Apple Pay

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Nogle kort kan gøre det muligt for en terminal at hente begrænsede mængder oplysninger om nylige transaktioner, når der foretages en betaling

    Beskrivelse: Transaktionslogfunktionen var slået til i nogle konfigurationer. Problemet er løst ved at fjerne transaktionslogfunktionen.

    CVE-id

    CVE-2015-5916

  • Lyd

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejl.: prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • Politik for certifikatgodkendelse

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses i artiklen https://support.apple.com/kb/HT204873?viewlocale=da_DK.

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser

    Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.

    CVE-id

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted

    Beskrivelse: Der var et problem ved behandling af proxyforbindelsessvar. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.

    CVE-id

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet

    Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af topniveaudomæner. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.

    CVE-id

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse bufferdata fra Apple-apps

    Beskrivelse: Bufferdata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere bufferdataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens adgangskode.

    CVE-id

    CVE-2015-5898: Andreas Kurtz fra NESO Security Labs

  • CoreCrypto

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker kan bestemme en privat nøgle

    Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.

  • CoreText

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod problemer med beskadiget hukommelse ved behandling af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)

  • Dev Tools

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5876: beist fra grayhash

  • Diskbilleder

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5847: Filippo Bigarella og Luca Todesco

  • dyld

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En app kan tilsidesætte kodesignering

    Beskrivelse: Der var et problem ved godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret hukommelsesstyring.

    CVE-id

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Flere sikkerhedsrisici i ICU

    Beskrivelse: Der var flere sikkerhedsrisici i ICU før version 53.1.0. Problemerne er løst ved at opdatere ICU til version 55.1.

    CVE-id

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre en vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOAcceleratorFamily. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOMobileFrameBuffer. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal hacker kan læse kernehukommelsen

    Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal hacker kan styre værdien af stakcookies

    Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemet er løst ved forbedret generering af stakcookies.

    CVE-id

    CVE-2013-3951: Stefan Esser

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol

    Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.

    CVE-id

    CVE-2015-5882: Pedro Vilaça, der arbejder ud fra oprindelig research af Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker i et lokalt LAN-segment kan deaktivere IPv6-routing

    Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.

    CVE-id

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i XNU, som bevirkede, at der skete afsløring af kernehukommelsen. Problemet er løst ved forbedret initialisering af kernehukommelsesstrukturerne.

    CVE-id

    CVE-2015-5842: beist fra grayhash

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis fremkalde DoS-angreb

    Beskrivelse: Der var et problem med HFS-drevaktivering. Problemet er løst ved at indføre yderligere godkendelseskontroller.

    CVE-id

    CVE-2015-5748: Maxime Villard fra m00nbsd

  • libpthread

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • PluginKit

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En skadelig virksomhedsapp kan installere udvidelser, før appen er blevet godkendt

    Beskrivelse: Der var et problem med godkendelse af udvidelser under installering. Problemet er løst ved forbedret appbekræftelse.

    CVE-id

    CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • removefile

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af skadelige data kan medføre pludselig applukning

    Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.

    CVE-id

    CVE-2015-5840: En anonym anmelder

  • SQLite

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Flere sikkerhedsrisici i SQLite v3.8.5

    Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Problemerne er løst ved at opdatere SQLite til version 3.8.10.2.

    CVE-id

    CVE-2015-5895

  • tidy

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i Tidy. Problemet er løst ved forbedret behandling af hukommelse.

    CVE-id

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: