Tietoja watchOS 2.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 2.2:n turvallisuussisällöstä.

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Lisätietoja Applen tuoteturvallisuudesta on Applen tuoteturvallisuussivustolla.

Lisätietoja Applen tuoteturvallisuuden PGP-avaimesta on artikkelissa Applen tuoteturvallisuuden PGP-avaimen käyttäminen.

CVE ID -tunnuksia käytetään mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

Tietoja muista suojauspäivityksistä on artikkelissa Applen suojauspäivitykset.

watchOS 2.2

  • Levykuvat

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Levytiedostojen jäsentämisessä oli muistin vioittumisongelma. Ongelma on korjattu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2016-1717: Frank Graziano – Yahoo! Pentest Team

  • FontParser

    Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Haitallisen PDF-tiedoston avaaminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaiseen koodin suorittamiseen.

    Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1740: HappilyCoded (ant4g0nist ja r3dsm0k3) – Trend Micro ja Zero Day Initiative (ZDI)

  • HTTPProtocol

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Etähyökkääjä saattaa pystyä suorittamaan satunnaista koodia.

    Kuvaus: Versiota 1.6.0 vanhemmissa nghttp2-versioissa oli useita haavoittuvuuksia, joista vakavin saattoi johtaa mielivaltaisen koodin suorittamiseen. Ne on ratkaistu päivittämällä nghttp2 versioon 1.6.0.

    CVE-tunnus

    CVE-2015-8659

  • IOHIDFamily

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1719: Ian Beer – Google Project Zero

  • IOHIDFamily

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä päättelemään kernel-muistin asettelun.

    Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1748: Brandon Azad

  • Kernel

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1720: Ian Beer – Google Project Zero

    CVE-2016-1721: Ian Beer – Google Project Zero ja Ju Zhu – Trend Micro

    CVE-2016-1754: Lufeng Li – Qihoo 360 Vulcan Team

    CVE-2016-1755: Google Project Zeron Ian Beer

  • Kernel

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Use after free -ongelma on ratkaistu parantamalla muistin hallintaa.

    CVE-ID

    CVE-2016-1750: CESG

  • Kernel

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Useiden kokonaislukujen ylivuoto on korjattu parannetun syötön tarkistuksen avulla.

    CVE-tunnus

    CVE-2016-1753: Juwei Lin – Trend Micro ja Zero Day Initiative (ZDI)

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä ohittamaan koodin allekirjoituksen.

    Kuvaus: Suorituskäyttöoikeuden virheellinen myöntäminen aiheutti käyttöoikeusongelman. Ongelma on ratkaistu parantamalla käyttöoikeuden tarkistamista.

    CVE-ID

    CVE-2016-1751: Square Mobile Securityn Eric Monti

  • Kernel

    Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä aiheuttamaan palveluneston.

    Kuvaus: Palvelunesto-ongelma on ratkaistu parantamalla tarkistamista.

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Haitallisen XML:n käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: Googlen David Drysdale

    CVE-2015-7499

    CVE-2015-7500: Googlen Kostya Serebryany

    CVE-2015-7942: Googlen Kostya Serebryany

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff – Trend Micron Zero Day Initiative (ZDI)

    CVE-2016-1762

  • libxslt

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Haitallisen XML:n käsitteleminen voi johtaa ohjelman odottamattomaan sulkeutumiseen tai mielivaltaisen koodin suorittamiseen.

    Kuvaus: Tyyppisekaannusongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2015-7995: puzzor 

  • Viestit

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Hyökkääjä, joka pystyy ohittamaan Applen varmenteen PIN-koodauksen, kaappaamaan TLS-yhteyksiä, lisäämään viestejä ja tallentamaan salattuja liitetyyppisiä viestejä, pystyy ehkä myös lukemaan liitteitä.

    Kuvaus: Kryptografinen ongelma ratkaistiin hylkäämällä useita asiakkaan viestejä.

    CVE-ID

    CVE-2016-1788: Johns Hopkinsin yliopiston Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers ja Michael Rushanan

  • Suojaus

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: haitallisen varmenteen käsittely saattaa johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: ASN.1-koodipurkutoiminnossa oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2016-1950: Quarkslabin Francis Gabriel

  • syslog

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

    Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

    CVE-tunnus

    CVE-2016-1722: Joshua J. Drake ja Nikias Bassen – Zimperium zLabs

  • TrueTypeScaler

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Haitallisen fonttitiedoston käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

    Kuvaus: Fonttitiedostojen käsittelyssä oli muistin vioittumisongelma. Ongelma on ratkaistu parantamalla syötön tarkistamista.

    CVE-ID

    CVE-2016-1775: 0x1byte – Trend Micron Zero Day Initiative (ZDI)

  • WebKit

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Haitallisen verkkosisällön käsitteleminen saattaa johtaa mielivaltaisen koodin suorittamiseen.

    Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

    CVE-ID

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • Wi-Fi

    Tämä toiminto tai ominaisuus on käytettävissä seuraavissa: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermes.

    Vaikutus: Etuoikeutetussa verkkoasemassa ollut hyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

    Kuvaus: Tietyssä ethertypessä oli kehystarkistus- ja muistin vioittumisongelma. Ongelma ratkaistiin ethertypen lisätarkistuksen ja parannetun muistin käsittelyn avulla.

    CVE-ID

    CVE-2016-0801: nimetön tutkija

    CVE-2016-0802: nimetön tutkija

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: