Tietoja watchOS 2.2.2:n turvallisuussisällöstä

Tässä asiakirjassa kerrotaan watchOS 2.2.2:n turvallisuussisällöstä.

Tietoja Applen suojauspäivityksistä

Suojellakseen asiakkaitaan Apple ei paljasta tietoturvaongelmia eikä anna niistä tietoja tai vahvista niitä, ennen kuin täydellinen tutkinta on tehty ja tarpeelliset korjauspäivitykset tai uudet versiot ovat saatavilla. Viimeisimmät julkaisut on listattu Applen suojauspäivitykset -sivulla.

Lisätietoja turvallisuudesta saat Applen tuoteturvallisuus -sivulta. Voit salata Applen kanssa käydyt keskustelut käyttämällä Applen tuoteturvallisuuden PGP-avainta.

Apple käyttää CVE-ID-tunnuksia mahdollisuuksien mukaan viittaamaan lisätietoihin haavoittuvuuksista.

watchOS 2.2.2

Julkaistu 18.7.2016

CoreGraphics

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4637: Cisco Talosin Tyler Bohan (talosintel.com/vulnerability-reports)

ImageIO

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Etähyökkääjä saattoi pystyä aiheuttamaan palveluneston.

Kuvaus: Muistin käyttöongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4632: Evgeny Sidorov (Yandex)

ImageIO

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Etähyökkääjä saattoi pystyä suorittamaan mielivaltaista koodia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4631: Cisco Talosin Tyler Bohan (talosintel.com/vulnerability-reports)

ImageIO

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Haitallisen kuvan käsitteleminen saattoi aiheuttaa mielivaltaisen koodin suorittamisen.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-7705: Craig Young (Tripwire VERT)

Kohta lisätty 30.11.2017

IOAcceleratorFamily

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin parantamalla tarkistusta.

CVE-2016-4627: Ju Zhu (Trend Micro)

IOAcceleratorFamily

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Paikallinen käyttäjä saattoi pystyä lukemaan kernel-muistia.

Kuvaus: Rajojen ulkopuolisen muistin luku on ratkaistu parantamalla rajojen tarkistusta.

CVE-2016-4628: Ju Zhu (Trend Micro)

IOHIDFamily

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-4626: Stefan Esser (SektionEins)

IOHIDFamily

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Ohjelma saattoi pystyä suorittamaan mielivaltaista koodia kernel-käyttöoikeuksilla.

Kuvaus: Muistin vioittumisongelma on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-4650: HP:n Zero Day Initiativen parissa työskentelevä Peter Pi (Trend Micro)

Kohta lisätty 29.7.2016

Kernel

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Paikallinen käyttäjä saattoi pystyä suorittamaan mielivaltaista koodia kernelin käyttöoikeuksilla.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-1863: Ian Beer (Google Project Zero)

CVE-2016-4653: Ju Zhu (Trend Micro)

CVE-2016-4582: Shrek_wzw ja Proteas (Qihoo 360 Nirvan Team)

Kernel

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Paikallinen käyttäjä saattoi pystyä aiheuttamaan järjestelmän palveluneston.

Kuvaus: Nollaosoittimen epäviittaus korjattiin annettujen tietojen parannetulla tarkistuksella.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) (KeenLab, @keen_lab), Tencent

Libc

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Etähyökkääjä saattoi aiheuttaa apin odottamattoman sulkeutumisen tai mielivaltaisen koodin suorittamisen.

Kuvaus: linkaddr.c:n link_ntoa()-toiminnossa oli puskurin ylivuoto. Ongelma ratkaistiin rajojen lisätarkistuksella.

CVE-2016-6559: Apple

Kohta lisätty 10.1.2017

libxml2

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: libxml2:ssa oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei ja Liu Yang (Nanyang Technological University)

CVE-2016-4447: Wei Lei ja Liu Yang (Nanyang Technological University)

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

Kohta päivitetty 5.6.2017

libxml2

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Haitallisen XML-dokumentin jäsentäminen saattoi aiheuttaa käyttäjätietojen paljastumisen.

Kuvaus: Haitallisten XML-tiedostojen jäsennyksessä oli käyttöongelma. Ongelma on ratkaistu parantamalla annettujen tietojen vahvistamista.

CVE-2016-4449: Kostya Serebryany

libxslt

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: libxslt:ssä oli useita haavoittuvuuksia.

Kuvaus: Useita muistin vioittumisongelmia on ratkaistu parantamalla muistin käsittelyä.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Kohta päivitetty 11.4.2017

Eristysprofiilit

Saatavuus: Apple Watch Sport, Apple Watch, Apple Watch Edition ja Apple Watch Hermès.

Vaikutus: Paikallinen appi saattoi pystyä käyttämään prosessiluetteloa.

Kuvaus: Etuoikeutetuissa API-kutsuissa oli käyttöoikeusongelma. Ongelma on ratkaistu lisäämällä rajoituksia.

CVE-2016-4594: Stefan Esser (SektionEins)

Muita kuin Applen valmistamia tuotteita sekä itsenäisiä verkkosivustoja (joita Apple ei hallitse tai joita se ei ole testannut) koskevat tiedot on tarkoitettu vain tiedoksi. Apple ei suosittele tai tue niitä. Apple ei vastaa muun valmistajan verkkosivustojen tai tuotteiden valikoimasta, suorituskyvystä tai käytöstä. Apple ei vastaa muun valmistajan verkkosivuston oikeellisuudesta tai luotettavuudesta. Internetin käyttöön liittyy riskejä. Pyydä lisätietoja valmistajalta. Muut yritysten ja tuotteiden nimet saattavat olla omistajiensa tavaramerkkejä.

Julkaisupäivämäärä: