Tietoja watchOS 2.0.1:n turvallisuussisällöstä
Tässä asiakirjassa kerrotaan watchOS 2.0.1:n turvallisuussisällöstä.
Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE-tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
watchOS 2.0.1
Apple Pay
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Jotkin kortit saattoivat sallia päätteen hakea rajoitetusti äskeisiä transaktiotietoja maksua suoritettaessa.
Kuvaus: Transaktiolokitoiminnallisuus oli käytössä joissakin määrityksissä. Ongelma on ratkaistu poistamalla transaktiolokitoiminnallisuus. Tämä päivitys ratkaisee ongelman myös Apple Watcheissa, jotka on toimitettu watchOS 2:lla.
CVE-tunnus
CVE-2015-5916
Bom
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haitallisen arkiston purkaminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: CPIO-arkistojen käsittelyssä oli tiedoston väärinkäyttöön liittyvä haavoittuvuus. Ongelma on ratkaistu parantamalla metadatan tarkistamista.
CVE-tunnus
CVE-2015-7006: Azimuth Securityn Mark Dowd
configd
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haittaohjelma saattoi pystyä hankkimaan laajemmat käyttöoikeudet.
Kuvaus: DNS-asiakaskirjastossa oli kekopohjainen puskurin ylivuoto-ongelma. Paikallinen käyttäjä, joka pystyi väärentämään vastauksia paikallisesta configd-palvelusta, saattoi pystyä aiheuttamaan mielivaltaisen koodin suorittamisen DNS-asiakkaissa.
CVE-tunnus
CVE-2015-7015: PanguTeam
CoreGraphics
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: CoreGraphicsissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.
CVE-tunnus
CVE-2015-5925: Apple
CVE-2015-5926: Apple
FontParser
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haitallisen fontin sisältävän dokumentin tarkasteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.
CVE-tunnus
CVE-2015-5927: Apple
CVE-2015-5942
Grand Central Dispatch
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haitallisen paketin käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Lähetyskutsujen käsittelyssä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.
CVE-tunnus
CVE-2015-6989: Apple
ImageIO
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haitallisen kuvatiedoston katsominen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Kuvien metadatan jäsentämisessä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla metadatan validointia.
CVE-tunnus
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.
CVE-tunnus
CVE-2015-6996: Google Project Zeron Ian Beer
IOHIDFamily
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin käsittelyä.
CVE-tunnus
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
mDNSResponder
Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.
Vaikutus: Etähyökkääjä saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.
Kuvaus: DNS-tietojen jäsennyksessä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.
CVE-tunnus
CVE-2015-7987: Alexandre Helie
Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.