Tietoja watchOS 2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 2:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

watchOS 2

  • Apple Pay

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Jotkin kortit saattoivat sallia päätteen hakea rajoitetusti äskeisiä transaktiotietoja maksua suoritettaessa.

    Kuvaus: Transaktiolokitoiminnallisuus oli käytössä joissakin määrityksissä. Ongelma on ratkaistu poistamalla transaktiolokitoiminnallisuus.

    CVE-ID

    CVE-2015-5916

  • Ääni

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallisen äänitiedoston toistaminen saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

    Kuvaus: Äänitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5862: Yonsei-yliopiston (Soul, Etelä-Korea) Information Security Labin YoungJin Yoon (apuna professori Taekyoung Kwon)

  • Varmenteiden luottamuskäytäntö

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Varmenteiden luottamuskäytäntö on päivitetty.

    Kuvaus: Varmenteiden luottamuskäytäntö on päivitetty. Luettelo varmenteista on osoitteessa https://support.apple.com/fi-fi/HT204873.

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä kaappaamaan SSL/TLS-yhteyksiä.

    Kuvaus: NSURLissa oli varmenteen validointiongelma, kun varmenne vaihtui. Ongelma on ratkaistu parantamalla varmenteiden validointia.

    CVE-ID

    CVE-2015-5824: Omni Groupin Timothy J. Wood

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Yhteyden muodostaminen haitalliseen verkkovälipalvelimeen saattoi asettaa verkkosivustolle haitallisia evästeitä.

    Kuvaus: Välipalvelimen yhdistämisvastausten käsittelyssä oli ongelma. Ongelma on ratkaistu poistamalla set-cookie-otsake yhdistämisvastauksen jäsennyksen aikana.

    CVE-ID

    CVE-2015-5841: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä pystyi seuraamaan käyttäjän toimintaa.

    Kuvaus: Ylimmän tason domainien käsittelyssä oli domainien välinen evästeongelma. Ongelma on ratkaistu parantamalla evästeiden luomisen rajoituksia.

    CVE-ID

    CVE-2015-5885: Tsinghuan yliopiston Blue Lotus Teamin Xiaofeng Zheng

  • CFNetwork

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Henkilö, jolla oli fyysinen pääsy iOS-laitteeseen, pystyi lukemaan Applen ohjelmista peräisin olevia välimuistitietoja.

    Kuvaus: Välimuistitiedot oli salattu avaimella, joka oli suojattu vain laitteiston UID-tunnuksella. Ongelma on ratkaistu salaamalla välimuistitiedot avaimella, joka on suojattu laitteiston UID-tunnuksella ja käyttäjän pääsykoodilla.

    CVE-ID

    CVE-2015-5898: NESO Security Labsin Andreas Kurtz

  • CoreCrypto

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Hyökkääjä saattoi pystyä selvittämään yksityisen avaimen.

    Kuvaus: Hyökkääjä saattoi pystyä selvittämään yksityisen RSA-avaimen tarkkailemalla monia allekirjoittamis- tai salauksen purkuyrityksiä. Ongelma on ratkaistu käyttämällä parempia salausalgoritmeja.

  • CoreText

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön validointia.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak) ja Yahoo Pentest Team 

  • Data Detectors Engine

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallisen tekstitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Tekstitiedostojen käsittelyssä oli muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla rajojen tarkistamista.

    CVE-ID

    CVE-2015-5829: Safeye Teamin (www.safeye.org) M1x7e1

  • Dev Tools

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: dyldissä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5876: grayhashin beist

  • Levykuvat

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: DiskImagesissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella ja Luca Todesco

  • dyld

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: Suoritustiedostojen koodiallekirjoituksen validoinnissa oli ongelma. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5839: @PanguTeam ja TaiG Jailbreak Team

  • GasGauge

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli useita muistin vioittumisongelmia. Ongelmat on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: ICU:ssa oli useita haavoittuvuuksia.

    Kuvaus: ICU 53.1.0:aa edeltävissä versioissa oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä ICU versioon 55.1.

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haittaohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Kernel-muistin sisältö saattoi paljastua ongelman vuoksi. Ongelma on ratkaistu parantamalla rajojen tarkistusta.

    CVE-ID

    CVE-2015-5834: Alibaba Mobile Security Teamin Cererdlong

  • IOAcceleratorFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOAcceleratorFamilyssa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haittaohjelma saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia järjestelmän käyttöoikeuksilla.

    Kuvaus: IOMobileFrameBufferissa oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen hyökkääjä saattoi pystyä lukemaan kernel-muistia.

    Kuvaus: Kernelissä oli muistin alustamisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5863: IOActiven Ilja van Sprundel

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5868: Alibaba Mobile Security Teamin Cererdlong

    CVE-2015-5896: m00nbsd:n Maxime Villard

    CVE-2015-5903: CESG

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen hyökkääjä saattoi hallita pinoevästeiden arvoa.

    Kuvaus: Käyttäjätilan pinoevästeiden luomisessa oli useita heikkouksia. Ongelma on ratkaistu parantamalla pinoevästeiden luomista.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen prosessi pystyi muokkaamaan muita prosesseja ilman oikeustarkistuksia.

    Kuvaus: processor_set_tasks-API:a käyttävät root-prosessit pystyivät hakemaan muiden prosessien tehtäväportit. Ongelma on ratkaistu lisäämällä oikeustarkistuksia.

    CVE-ID

    CVE-2015-5882: Ming-chieh Panin ja Sung-ting Tsain alkuperäistutkimukseen työnsä perustanut Pedro Vilaça sekä Jonathan Levin

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallisessa lähiverkkosegmentissä ollut hyökkääjä saattoi poistaa IPv6-reitityksen käytöstä.

    Kuvaus: IPv6-reititysmainosten käsittelyssä oli riittämättömän validoinnin ongelma, minkä vuoksi hyökkääjä pystyi asettamaan siirräntävälille mielivaltaisen arvon. Ongelma on ratkaistu ottamalla käyttöön pienimmän sallitun siirräntävälin rajoitus.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: XNU:ssa oli ongelma, joka aiheutti kernel-muistin sisällön paljastumisen. Ongelma on ratkaistu parantamalla kernel-muistin rakenteiden alustamista.

    CVE-ID

    CVE-2015-5842: grayhashin beist

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

    Kuvaus: HFS-aseman tuomisessa näkyviin oli ongelma. Ongelma on ratkaistu lisäämällä validointitarkistuksia.

    CVE-ID

    CVE-2015-5748: m00nbsd:n Maxime Villard

  • libpthread

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

    Kuvaus: Kernelissä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5899: Qihoo 360 Vulcan Teamin Lufeng Li

  • PluginKit

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallinen yritysohjelma pystyi asentamaan laajennuksia ennen kuin ohjelmaan oli luotettu.

    Kuvaus: Laajennusten validoinnissa asennuksen aikana oli ongelma. Ongelma on ratkaistu parantamalla ohjelman tarkistusta.

    CVE-ID

    CVE-2015-5837: FireEye Inc:n Zhaofeng Chen, Hui Xue ja Tao (Lenx) Wei

  • removefile

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallisten tietojen käsittely saattoi aiheuttaa ohjelman odottamattoman sulkeutumisen.

    Kuvaus: checkint-jakolaskurutiineissa oli ylivuotovika. Ongelma on ratkaistu parantamalla jakolaskurutiineja.

    CVE-ID

    CVE-2015-5840: nimetön tutkija

  • SQLite

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia.

    Kuvaus: SQLite 3.8.5:ssä oli useita haavoittuvuuksia. Ne on ratkaistu päivittämällä SQLite versioon 3.8.10.2.

    CVE-ID

    CVE-2015-5895

  • tidy

    Saatavuus: Apple Watch Sport, Apple Watch ja Apple Watch Edition.

    Vaikutus: Haitallisella verkkosivustolla käynti saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Tidyssa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2015-5522: NULLGroup.comin Fernando Muñoz

    CVE-2015-5523: NULLGroup.comin Fernando Muñoz

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: