Tietoja watchOS 2:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 2:n turvallisuussisällöstä.
Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojausjulkaisut.
watchOS 2
Apple Pay
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: osa korteista saattoi sallia päätteen hakea rajallisia viimeaikaisia maksutapahtumatietoja, kun maksu suoritettiin.
Kuvaus: Tapahtumalokitoiminto oli käytössä tietyissä määrityksissä. Ongelma on ratkaistu poistamalla tapahtumalokitoiminto.
CVE-ID
CVE-2015-5916
Audio
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallisen äänitiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen.
Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5862: YoungJin Yoon (Information Security Lab., (apuna professori Taekyoung Kwon, Yonsei University, Seoul, Korea)
Certificate Trust Policy
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: päivitys varmenteiden luottamuskäytäntöön.
Kuvaus: Varmenteiden luottamuskäytäntö päivitettiin. Varmenneluettelo löytyy artikkelista https://support.apple.com/HT204873.
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kaapata SSL/TLS-yhteyksiä.
Kuvaus: NSURL:ssa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.
CVE-ID
CVE-2015-5824: Timothy J. Wood (The Omni Group)
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi lisätä verkkosivustoon haitallisia evästeitä.
Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.
Kuvaus: Ylätason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi lukemaan välimuistitietoja Applen apeista.
Kuvaus: Välimuistitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla välimuistitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.
CVE-ID
CVE-2015-5898: Andreas Kurtz (NESO Security Labs)
CoreCrypto
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.
Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla useita kirjautumis- tai salauksenpurkuyrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.
CoreText
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team
Data Detectors Engine
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Tekstitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.
CVE-ID
CVE-2015-5829: M1x7e1 (Safeye Team, www.safeye.org)
Dev Tools
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5876: beist (grayhash)
Disk Images
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: appi saattoi pystyä ohittamaan koodin allekirjoituksen.
Kuvaus: Suoritettavien tiedostojen koodin allekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: useita haavoittuvuuksia ICU:ssa.
Kuvaus: ICU-versiota 53.1.0 aiemmissa versioissa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä ICU versioksi 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand (Google Project Zero)
IOAcceleratorFamily
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallinen appi saattoi pystyä selvittämään kernel-muistin asettelun.
Kuvaus: Kernel-muistin sisältö saattoi paljastua ongelman vuoksi. Ongelma ratkaistiin parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5834: Cererdlong (Alibaba Mobile Security Team)
IOAcceleratorFamily
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOMobileFrameBufferissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Kernelissä oli muistin alustusongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5863: Ilja van Sprundel (IOActive)
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5868: Cererdlong (Alibaba Mobile Security Team)
CVE-2015-5896: Maxime Villard (m00nbsd)
CVE-2015-5903: CESG
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.
Kuvaus: Käyttäjätilan pinoevästeiden luonnissa oli useita heikkouksia. Ongelma on ratkaistu parantamalla pinoevästeiden luomista.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.
Kuvaus: processor_set_tasks-APIa käyttävät root-prosessit saivat hakea muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-ID
CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa käytöstä IPv6-reitityksen.
Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, jonka takia hyökkääjä pystyi määrittämään siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä selvittämään kernel-muistin asettelun.
Kuvaus: Kernel-muisti saattoi paljastua XNU:ssa olevan ongelman vuoksi. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.
CVE-ID
CVE-2015-5842: beist (grayhash)
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: HFS-aseman tuomisessa näkyviin oli ongelma. Ongelma on ratkaistu lisäämällä validointitarkistuksia.
CVE-ID
CVE-2015-5748: Maxime Villard (m00nbsd)
libpthread
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5899: Lufeng Li (Qihoo 360 Vulcan Team)
PluginKit
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallinen yritysappi pystyi asentamaan laajennuksia, ennen kuin appiin oli luotettu.
Kuvaus: Laajennusten validoinnissa asennuksen aikana oli ongelma. Ongelma on ratkaistu parantamalla ohjelman tarkistusta.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue ja Tao (Lenx, Wei of FireEye, Inc.)
removefile
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallisten tietojen käsittely saattoi johtaa apin odottamattomaan sulkeutumiseen.
Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.
CVE-ID
CVE-2015-5840: nimetön tutkija
SQLite
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: useita haavoittuvuuksia SQLite 3.8.5:ssä.
Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä SQLite versioksi 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition
Vaikutus: haitallisessa verkkosivustossa käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Tidyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5522: Fernando Muñoz (NULLGroup.com)
CVE-2015-5523: Fernando Muñoz (NULLGroup.com)
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.