Tietoja watchOS 2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 2:n turvallisuussisällöstä.

Apple haluaa suojella asiakkaitaan, eikä siksi paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustossa.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojausjulkaisut.

watchOS 2

  • Apple Pay

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: osa korteista saattoi sallia päätteen hakea rajallisia viimeaikaisia maksutapahtumatietoja, kun maksu suoritettiin.

    Kuvaus: Tapahtumalokitoiminto oli käytössä tietyissä määrityksissä. Ongelma on ratkaistu poistamalla tapahtumalokitoiminto.

    CVE-ID

    CVE-2015-5916

  • Audio

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallisen äänitiedoston toistaminen saattoi johtaa apin odottamattomaan sulkeutumiseen.

    Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon (Information Security Lab., (apuna professori Taekyoung Kwon, Yonsei University, Seoul, Korea)

  • Certificate Trust Policy

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: päivitys varmenteiden luottamuskäytäntöön.

    Kuvaus: Varmenteiden luottamuskäytäntö päivitettiin. Varmenneluettelo löytyy artikkelista https://support.apple.com/HT204873.

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi kaapata SSL/TLS-yhteyksiä.

    Kuvaus: NSURL:ssa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood (The Omni Group)

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi lisätä verkkosivustoon haitallisia evästeitä.

    Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.

    Kuvaus: Ylätason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng (Blue Lotus Team, Tsinghua University)

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi lukemaan välimuistitietoja Applen apeista.

    Kuvaus: Välimuistitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla välimuistitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz (NESO Security Labs)

  • CoreCrypto

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.

    Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla useita kirjautumis- tai salauksenpurkuyrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.

  • CoreText

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team

  • Data Detectors Engine

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Tekstitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelmat on ratkaistu parannetulla rajojen tarkistamisella.

    CVE-ID

    CVE-2015-5829: M1x7e1 (Safeye Team, www.safeye.org)

  • Dev Tools

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5876: beist (grayhash)

  • Disk Images

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: appi saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: Suoritettavien tiedostojen koodin allekirjoituksen validoinnissa oli ongelma. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: useita haavoittuvuuksia ICU:ssa.

    Kuvaus: ICU-versiota 53.1.0 aiemmissa versioissa oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä ICU versioksi 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand (Google Project Zero)

  • IOAcceleratorFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallinen appi saattoi pystyä selvittämään kernel-muistin asettelun.

    Kuvaus: Kernel-muistin sisältö saattoi paljastua ongelman vuoksi. Ongelma ratkaistiin parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5834: Cererdlong (Alibaba Mobile Security Team)

  • IOAcceleratorFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallinen appi saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOMobileFrameBufferissa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.

    Kuvaus: Kernelissä oli muistin alustusongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel (IOActive)

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5868: Cererdlong (Alibaba Mobile Security Team)

    CVE-2015-5896: Maxime Villard (m00nbsd)

    CVE-2015-5903: CESG

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.

    Kuvaus: Käyttäjätilan pinoevästeiden luonnissa oli useita heikkouksia. Ongelma on ratkaistu parantamalla pinoevästeiden luomista.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.

    Kuvaus: processor_set_tasks-APIa käyttävät root-prosessit saivat hakea muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.

    CVE-ID

    CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa käytöstä IPv6-reitityksen.

    Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, jonka takia hyökkääjä pystyi määrittämään siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä selvittämään kernel-muistin asettelun.

    Kuvaus: Kernel-muisti saattoi paljastua XNU:ssa olevan ongelman vuoksi. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.

    CVE-ID

    CVE-2015-5842: beist (grayhash)

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: HFS-aseman tuomisessa näkyviin oli ongelma. Ongelma on ratkaistu lisäämällä validointitarkistuksia.

    CVE-ID

    CVE-2015-5748: Maxime Villard (m00nbsd)

  • libpthread

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5899: Lufeng Li (Qihoo 360 Vulcan Team)

  • PluginKit

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallinen yritysappi pystyi asentamaan laajennuksia, ennen kuin appiin oli luotettu.

    Kuvaus: Laajennusten validoinnissa asennuksen aikana oli ongelma. Ongelma on ratkaistu parantamalla ohjelman tarkistusta.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue ja Tao (Lenx, Wei of FireEye, Inc.)

  • removefile

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallisten tietojen käsittely saattoi johtaa apin odottamattomaan sulkeutumiseen.

    Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.

    CVE-ID

    CVE-2015-5840: nimetön tutkija

  • SQLite

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: useita haavoittuvuuksia SQLite 3.8.5:ssä.

    Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ongelmat on ratkaistu päivittämällä SQLite versioksi 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition

    Vaikutus: haitallisessa verkkosivustossa käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Tidyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz (NULLGroup.com)

    CVE-2015-5523: Fernando Muñoz (NULLGroup.com)

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: