Om sikkerhedsindholdet i watchOS 2.2.2

Dette dokument indeholder en beskrivelse af sikkerhedsindholdet i watchOS 2.2.2.

Om Apple-sikkerhedsopdateringer

Med henblik på beskyttelse af vores kunder videregiver, drøfter eller bekræfter Apple ikke sikkerhedsanliggender, før en undersøgelse har fundet sted, og programrettelser eller versioner er tilgængelige. De nyeste versioner kan ses på siden om Apple-sikkerhedsopdateringer.

Få flere oplysninger om sikkerhed på siden om Apple-produktsikkerhed. Du kan kryptere din kommunikation med Apple ved hjælp af PGP-nøglen til Apple-produktsikkerhed.

Apple sikkerhedsdokumenterer om muligt henvisninger til sikkerhedsproblemer med et CVE-id.

watchOS 2.2.2

Udgivet 18. juli 2016

CoreGraphics

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4637: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En ekstern hacker kan muligvis fremkalde denial of service

Beskrivelse: Der var et problem med hukommelsesforbrug, som er løst ved forbedret hukommelseshåndtering.

CVE-2016-4632: Evgeny Sidorov fra Yandex

ImageIO

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et fjernangreb kan medføre kørsel af vilkårlig kode

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4631: Tyler Bohan fra Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Behandling af et skadeligt billedarkiv kan medføre kørsel af vilkårlig kode

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-7705: Craig Young fra Tripwire VERT

Post tilføjet 30. november 2017

IOAcceleratorFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er blevet rettet gennem forbedret validering.

CVE-2016-4627: Ju Zhu fra Trend Micro

IOAcceleratorFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan læse kernehukommelsen

Beskrivelse: Et out-of-bounds-læseproblem er løst via forbedret kontrol af grænser.

CVE-2016-4628: Ju Zhu fra Trend Micro

IOHIDFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-4626: Stefan Esser fra SektionEins

IOHIDFamily

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et program kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Et problem med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-4650: Peter Pi fra Trend Micro, som arbejder med HP's Zero Day Initiative

Post tilføjet 29. juli 2016

Kernel

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis køre vilkårlig kode med kernerettigheder

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1863: Ian Beer fra Google Project Zero

CVE-2016-4653: Ju Zhu fra Trend Micro

CVE-2016-4582: Shrek_wzw og Proteas fra Qihoo 360 Nirvan Team

Kernel

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En lokal bruger kan muligvis fremkalde DoS (Denial of Service) på systemet

Beskrivelse: En reference til en null-pointer er rettet via forbedret godkendelse af input.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) fra KeenLab (@keen_lab), Tencent

Libc

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: En ekstern hacker kan muligvis forårsage pludselig programlukning eller vilkårlig kørsel af kode

Beskrivelse: Der var et bufferoverløb i funktionen "link_ntoa()" i linkaddr.c. Problemet blev løst ved hjælp af yderligere kontrol af grænser.

CVE-2016-6559: Apple

Post tilføjet 10. januar 2017

libxml2

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Flere sikkerhedsrisici i libxml2

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4447: Wei Lei og Liu Yang fra Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Post opdateret 5. juni 2017

libxml2

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Parsing af et skadeligt XML-arkiv kan medføre afsløring af brugeroplysninger

Beskrivelse: Der var et adgangsproblem i forbindelse med parsing af skadelige XML-arkiver. Problemet er løst ved forbedret godkendelse af input.

CVE-2016-4449: Kostya Serebryany

libxslt

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Flere sikkerhedsrisici i libxslt

Beskrivelse: Flere problemer med beskadiget hukommelse er løst via forbedret hukommelseshåndtering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Post opdateret 11. april 2017

Sandbox-profiler

Fås til: Apple Watch Sport, Apple Watch, Apple Watch Edition og Apple Watch Hermès

Effekt: Et lokalt program kan muligvis få adgang til proceslisten

Beskrivelse: Der var et adgangsproblem med privilegerede API-kald. Problemet er løst ved at indføre yderligere begrænsninger.

CVE-2016-4594: Stefan Esser fra SektionEins

Oplysninger om produkter, der ikke er fremstillet af Apple, eller selvstændige websteder, der ikke er styret eller testet af Apple, er ikke udtryk for anbefalinger eller godkendelser fra Apples side. Apple påtager sig intet ansvar med hensyn til udvalget af disse produkter, produkternes funktionsevne eller brugen af produkterne. Apple giver ingen garanti for, at indholdet på websteder, som Apple ikke står bag, er pålideligt og præcist. Det er forbundet med en naturlig risiko at bruge internettet. Kontakt producenten for at få yderligere oplysninger. Andre virksomheds- og produktnavne kan være varemærker tilhørende de respektive ejere.

Udgivelsesdato: