Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.
Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.
CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.
Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.
watchOS 2
Apple Pay
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Jotkin kortit saattoivat sallia päätteen hakea rajoitetusti äskeisiä transaktiotietoja maksua suoritettaessa.
Kuvaus: Transaktiolokitoiminnallisuus oli käytössä joissakin määrityksissä. Ongelma on ratkaistu poistamalla transaktiolokitoiminnallisuus.
CVE-ID
CVE-2015-5916
Ääni
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5862: Yonsei-yliopiston (Soul, Etelä-Korea) Information Security Labin YoungJin Yoon (apuna professori Taekyoung Kwon)
Varmenteiden luottamuskäytäntö
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.
Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204873.
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.
Kuvaus: NSURLissa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.
CVE-ID
CVE-2015-5824: Omni Groupin Timothy J. Wood
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi asettaa verkkosivustolle haitallisia evästeitä.
Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.
CVE-ID
CVE-2015-5841: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.
Kuvaus: Ylimmän tason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.
CVE-ID
CVE-2015-5885: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng
CFNetwork
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi lukemaan Applen ohjelmista peräisin olevia välimuistitietoja.
Kuvaus: Välimuistitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla välimuistitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.
CVE-ID
CVE-2015-5898: NESO Security Labsin Andreas Kurtz
CoreCrypto
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.
Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla monia allekirjoittamis- tai salauksen purkuyrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.
CoreText
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön validointia.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team
Data Detectors Engine
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Tekstitiedostojen käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.
CVE-ID
CVE-2015-5829: Safeye Teamin (www.safeye.org) M1x7e1
Dev Tools
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5876: grayhashin beist
Levykuvat
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5847: Filippo Bigarella ja Luca Todesco
dyld
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.
Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5839: @PanguTeam ja TaiG Jailbreak Team
GasGauge
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: ICU:ssa oli useita haavoittuvuuksia.
Kuvaus: ICU 53.1.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä ICU versioon 55.1.
CVE-ID
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: Kernel-muistin sisältö saattoi paljastua ongelman vuoksi. Ongelma on ratkaistu parantamalla rajojen tarkistusta.
CVE-ID
CVE-2015-5834: Alibaba Mobile Security Teamin Cererdlong
IOAcceleratorFamily
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.
Kuvaus: IOMobileFrameBufferissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.
Kuvaus: Kernelissä oli muistin alustamisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5863: IOActiven Ilja van Sprundel
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5868: Alibaba Mobile Security Teamin Cererdlong
CVE-2015-5896: m00nbsd:n Maxime Villard
CVE-2015-5903: CESG
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.
Kuvaus: Käyttäjätilan pinoevästeiden luomisessa oli useita heikkouksia. Ongelma on ratkaistu parantamalla pinoevästeiden luomista.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.
Kuvaus: processor_set_tasks-API:a käyttävät root-prosessit pystyivät hakemaan muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.
CVE-ID
CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa IPv6-reitityksen käytöstä.
Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, minkä vuoksi hyökkääjä pystyi asettamaan siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.
Kuvaus: XNU:ssa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.
CVE-ID
CVE-2015-5842: grayhashin beist
Kernel
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.
Kuvaus: HFS-aseman tuomisessa näkyviin oli ongelma. Ongelma on ratkaistu lisäämällä validointitarkistuksia.
CVE-ID
CVE-2015-5748: m00nbsd:n Maxime Villard
libpthread
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.
Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5899: Qihoo 360 Vulcan Teamin Lufeng Li
PluginKit
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haitallinen yritysohjelma pystyi asentamaan laajennuksia ennen kuin ohjelmaan oli luotettu.
Kuvaus: Laajennusten validoinnissa asennuksen aikana oli ongelma. Ongelma on ratkaistu parantamalla ohjelman tarkistusta.
CVE-ID
CVE-2015-5837: FireEye Inc:n Zhaofeng Chen, Hui Xue ja Tao (Lenx) Wei
removefile
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haitallisten tietojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.
Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.
CVE-ID
CVE-2015-5840: nimetön tutkija
SQLite
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia.
Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä SQLite versioon 3.8.10.2.
CVE-ID
CVE-2015-5895
tidy
Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.
Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.
Kuvaus: Tidyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.
CVE-ID
CVE-2015-5522: NULLGroup.comin Fernando Muñoz
CVE-2015-5523: NULLGroup.comin Fernando Muñoz