Tietoja Watch OS 1.0.1:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan Watch OS 1.0.1:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

Watch OS 1.0.1

  • Varmenteiden luottamuskäytäntö

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

    Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204873

  • FontParser

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: NSXMLParseria käyttävää ohjelmaa saatettiin käyttää väärin tietojen paljastamiseen.

    Kuvaus: NSXMLParserin tavassa käsitellä XML-tietoja oli ulkoisia XML-entiteettejä koskeva ongelma. Ongelma on ratkaistu olemalla lataamatta ulkoisia entiteettejä eri alkuperien välillä.

    CVE-ID

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallinen ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: IOHIDFamilyssa oli ongelma, joka aiheutti kernel-muistisisällön paljastumisen. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-1096: IOActiven Ilja van Sprundel

  • IOAcceleratorFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallinen ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: IOAcceleratorFamilyssa oli ongelma, joka aiheutti kernel-muistisisällön paljastumisen. Ongelma on ratkaistu poistamalla tarpeeton koodi.

    CVE-ID

    CVE-2015-1094: Alibaba Mobile Security Teamin Cererdlong

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haittaohjelma saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: Kernelin setreuid-järjestelmäkutsussa oli kilpailutilanne. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-1099: Google Inc:n Mark Mentovai

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä uudelleenohjaamaan käyttäjäliikennettä mielivaltaisille palvelimille.

    Kuvaus: ICMP-uudelleenohjaukset olivat oletusarvoisesti käytössä. Ongelma on ratkaistu poistamalla ICMP-uudelleenohjaukset käytöstä.

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etähyökkääjä saattaa pystyä aiheuttamaan palvelun eston.

    Kuvaus: Kaistan ulkopuolisen TCP-datan käsittelyssä oli tilan epäjohdonmukaisuusongelma. Ongelma on ratkaistu parantamalla tilanhallintaa.

    CVE-ID

    CVE-2015-1105: Sandstorm.ion Kenton Varda

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallinen ohjelma saattoi pystyä laajentamaan käyttöoikeuksia käyttämällä vaarantunutta palvelua, joka oli tarkoitettu suoritettavaksi suppeammilla käyttöoikeuksilla.

    Kuvaus: setreuid- ja setregid-järjestelmäkutsut eivät luopuneet käyttöoikeuksista pysyvästi. Ongelma on ratkaistu luopumalla käyttöoikeuksista oikein.

    CVE-ID

    CVE-2015-1117: Google Inc:n Mark Mentovai

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etähyökkääjä saattoi pystyä ohittamaan verkkosuodattimet.

    Kuvaus: Järjestelmä käsitteli joitakin etäverkkoliittymistä peräisin olevia IPv6-paketteja paikallisina paketteina. Ongelma on ratkaistu hylkäämällä nämä paketit.

    CVE-ID

    CVE-2015-1104: Google Security Teamin Stephen Roettger

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: TCP-otsakkeiden käsittelyssä oli tilan epäjohdonmukaisuus. Ongelma on ratkaistu parantamalla tilan käsittelyä.

    CVE-ID

    CVE-2015-1102: Kaspersky Labin Andrey Khudyakov ja Maxim Zhuravlev

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallinen ohjelma saattoi pystyä aiheuttamaan järjestelmän odottamattoman sulkeutumisen tai lukemaan kernel-muistia.

    Kuvaus: Kernelissä oli rajojen ulkopuolisen muistin käyttöongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-1100: m00nbsd:n Maxime Villard

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-1101: HP:n Zero Day Initiativen parissa työskentelevä lokihardt@ASRT

  • Secure Transport

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.

    Kuvaus: Secure Transport hyväksyi täysvahvuisia RSA-salausohjelmistoja käyttävissä yhteyksissä lyhyitä tilapäisiä RSA-avaimia, joita yleensä käytetään vain USA:n aiempien vientirajoitusten mukaisissa RSA-salausohjelmistoissa. Ongelma (josta käytetään myös nimitystä FREAK) koski vain yhteyksiä palvelimiin, jotka tukevat vientirajoitusten mukaisia RSA-salausohjelmistoja. Se on ratkaistu poistamalla tilapäisten RSA-avainten tuki.

    CVE-ID

    CVE-2015-1067: Inrian (Pariisi) Prosecco-tiimin Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti ja Jean Karim Zinzindohoue

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: