Om sikkerhedsindholdet i watchOS 2

I dette dokument beskrives sikkerhedsindholdet i watchOS 2.

Af hensyn til vores kunders sikkerhed omtaler, diskuterer eller bekræfter Apple ikke sikkerhedsanliggender, før en fuldstændig undersøgelse har fundet sted, og de relevante programrettelser eller versioner er tilgængelige. Hvis du vil læse mere om Apple-produktsikkerhed, kan du gå ind på webstedet Apple-produktsikkerhed.

Du kan finde flere oplysninger om PGP-nøglen til Apple-produktsikkerhed i artiklen Sådan bruges PGP-nøglen til Apple Produktsikkerhed.

Hvor det er muligt, bruges der CVE-id'er til at henvise til yderligere oplysninger om sikkerhedsproblemer.

Du kan finde oplysninger om andre sikkerhedsopdateringer i artiklen om Apples sikkerhedsopdateringer.

watchOS 2

  • Apple Pay

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Nogle kort kan gøre det muligt for en terminal at hente begrænsede mængder oplysninger om nylige transaktioner, når der foretages en betaling

    Beskrivelse: Transaktionslogfunktionen var slået til i nogle konfigurationer. Problemet er løst ved at fjerne transaktionslogfunktionen.

    CVE-id

    CVE-2015-5916

  • Audio

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Afspilning af et skadeligt lydarkiv kan medføre pludselig applukning

    Beskrivelse: Der var et problem med beskadiget hukommelse ved behandling af lydarkiver. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (vejleder: prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea

  • Certificate Trust Policy

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Opdatering af politikken for certifikatgodkendelse

    Beskrivelse: Politikken for certifikatgodkendelse blev opdateret. Den komplette liste med certifikater kan ses på https://support.apple.com/HT204873.

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan opfange SSL/TLS-forbindelser

    Beskrivelse: Der var et problem med certifikatgodkendelse i NSURL, når et certifikat blev ændret. Problemet er løst ved forbedret certifikatgodkendelse.

    CVE-id

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Ved forbindelse til en skadelig webproxyserver kunne der indsættes skadelige cookies for et websted

    Beskrivelse: Der var et problem ved behandling af svar fra en proxyforbindelse. Problemet er løst ved at fjerne set-cookie-headeren, når forbindelsessvaret blev parset.

    CVE-id

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker med en privilegeret netværksposition kan spore en brugers aktivitet

    Beskrivelse: Der var et problem med cookies på tværs af domæner ved behandling af domæner på topniveau. Problemet er løst ved at forbedre begrænsningerne ved cookieoprettelse.

    CVE-id

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua University

  • CFNetwork

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En person med fysisk adgang til en iOS-enhed kan muligvis læse bufferdata fra Apple-apps

    Beskrivelse: Bufferdata blev krypteret med en nøgle, der kun var beskyttet af hardware-UID'et. Problemet er løst ved at kryptere bufferdataene med en nøgle, der er beskyttet af hardware-UID'et og brugerens kode.

    CVE-id

    CVE-2015-5898: Andreas Kurtz fra NESO Security Labs

  • CoreCrypto

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker kan muligvis bestemme en privat nøgle

    Beskrivelse: Ved at observere mange signerings- eller dekrypteringsforsøg kunne en hacker muligvis bestemme den private RSA-nøgle. Problemet er løst ved forbedret godkendelse af krypteringsalgoritmer.

  • CoreText

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af et skadeligt skriftarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod et problem med beskadiget hukommelse ved behandling af skriftarkiver. Problemet er løst ved forbedret godkendelse af input.

    CVE-id

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af et skadeligt tekstarkiv kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der opstod problemer med beskadiget hukommelse ved behandling af tekstarkiver. Problemerne er løst ved forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)

  • Dev Tools

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i dyld. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5876: beist fra grayhash

  • Disk Images

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i DiskImages. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et program kan muligvis tilsidesætte kodesignering

    Beskrivelse: Der var et problem med godkendelse af kodesignaturen for eksekverbare arkiver. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var flere problemer med beskadiget hukommelse i kernen. Problemerne er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Flere sikkerhedsrisici i ICU

    Beskrivelse: Der var flere sikkerhedsrisici i versioner af ICU fra før 53.1.0. Disse problemer blev løst ved at opdatere ICU til version 55.1.

    CVE-id

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand fra Google Project Zero

  • IOAcceleratorFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis aflæse opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem, som bevirkede, at der blev afsløret indhold fra kernehukommelsen. Problemet er løst via forbedret kontrol af grænser.

    CVE-id

    CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOAcceleratorFamily. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et skadeligt program kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med systemrettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i IOMobileFrameBuffer. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal hacker kan muligvis læse kernehukommelsen

    Beskrivelse: Der var et problem med hukommelsesinitialisering i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal hacker kan muligvis styre værdien af stakcookies

    Beskrivelse: Der var flere sikkerhedsproblemer ved generering af stakcookies til brugerområdet. Problemet er løst ved forbedret generering af stakcookies.

    CVE-id

    CVE-2013-3951: Stefan Esser

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal proces kan ændre andre processer uden forudgående berettigelseskontrol

    Beskrivelse: Der var et problem med, at rodprocesser, der anvender API'en for processor_set_tasks, kunne hente andre processers opgaveporte. Problemet er løst ved at indføre yderligere berettigelseskontroller.

    CVE-id

    CVE-2015-5882: Pedro Vilaça, der arbejder videre på oprindelig research foretaget af Ming-chieh Pan og Sung-ting Tsai, Jonathan Levin

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En hacker i et lokalt LAN-segment kan muligvis deaktivere IPv6-routing

    Beskrivelse: Der var et problem med utilstrækkelig godkendelse ved behandling af IPv6-routerannonceringer, som gjorde det muligt for en hacker at indstille hop-grænsen til en vilkårlig værdi. Problemet er løst ved at gennemtvinge en minimums-hop-grænse.

    CVE-id

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis se opsætningen af kernehukommelsen

    Beskrivelse: Der var et problem i XNU, som medførte afsløring af kernehukommelsen. Problemet er løst ved forbedret initialisering af strukturerne for kernehukommelsen.

    CVE-id

    CVE-2015-5842: beist fra grayhash

  • Kernel

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

    Beskrivelse: Der var et problem med HFS-drevaktivering. Problemet er løst ved at indføre yderligere godkendelseskontroller.

    CVE-id

    CVE-2015-5748: Maxime Villard fra m00nbsd

  • libpthread

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

    Beskrivelse: Der var et problem med beskadiget hukommelse i kernen. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • PluginKit

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: En skadelig virksomhedsapp kan installere udvidelser, før appen er blevet godkendt

    Beskrivelse: Der var et problem med godkendelse af udvidelser under installering. Problemet er løst ved forbedret appbekræftelse.

    CVE-id

    CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • removefile

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Behandling af skadelige data kan medføre pludselig applukning

    Beskrivelse: Der var en overløbsfejl i checkint-divisionsrutinerne. Problemet er løst ved at forbedre divisionsrutinerne.

    CVE-id

    CVE-2015-5840: en anonym programmør

  • SQLite

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Flere sikkerhedsrisici i SQLite v3.8.5

    Beskrivelse: Der var flere sikkerhedsrisici i SQLite v3.8.5. Disse problemer blev løst ved at opdatere SQLite til version 3.8.10.2.

    CVE-id

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Fås til: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Effekt: Et besøg på et skadeligt websted kan medføre kørsel af vilkårlig kode

    Beskrivelse: Der var et problem med beskadiget hukommelse i Tidy. Problemet er løst ved forbedret håndtering af hukommelsen.

    CVE-id

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.

Udgivelsesdato: