À propos des correctifs de sécurité de watchOS 2

Ce document décrit les correctifs de sécurité de watchOS 2.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que les correctifs ou mises à jour nécessaires ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour en savoir plus sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

watchOS 2

  • Apple Pay

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : certaines cartes peuvent autoriser un terminal à récupérer des informations de transaction récentes limitées lors d’un paiement.

    Description : la fonctionnalité de journalisation des transactions a été activée dans certaines configurations. Ce problème a été résolu par la désactivation de la fonctionnalité de journalisation.

    Référence CVE

    CVE-2015-5916

  • Audio

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : la lecture d’un fichier audio malveillant peut entraîner la fermeture inopinée de l’application.

    Description : le traitement des fichiers audio présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5862 : YoungJin Yoon d’Information Security Lab. (Prof. consultant Taekyoung Kwon), Université de Yonsei, Séoul, Corée

  • Certificate Trust Policy

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : mise à jour de la politique de fiabilité des certificats.

    Description : la politique de fiabilité des certificats a été mise à jour. Retrouvez la liste complète des certificats dans l’article https://support.apple.com/HT204873.

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un attaquant bénéficiant d’une position privilégiée dans un réseau peut intercepter des connexions SSL/TLS.

    Description : NSURL présentait un problème de validation de certificat lorsqu’un certificat était modifié. Ce problème a été résolu par une meilleure validation des certificats.

    Référence CVE

    CVE-2015-5824 : Timothy J. Wood de The Omni Group

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une connexion à un proxy web malveillant peut installer des cookies malveillants d’un site web.

    Description : un problème a été détecté dans la gestion des réponses de connexion proxy. Ce problème a été résolu par la suppression de l’en-tête set-cookie lors de l’analyse de la réponse de connexion.

    Référence CVE

    CVE-2015-5841 : Xiaofeng Zheng de l’équipe Blue Lotus, Université Tsinghua

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un attaquant bénéficiant d’une position privilégiée dans un réseau peut suivre l’activité d’un utilisateur.

    Description : un problème de cookie inter-domaine survenait dans la gestion des domaines de premier niveau. Le problème a été résolu par une amélioration des restrictions applicables à la création de cookies.

    Référence CVE

    CVE-2015-5885 : Xiaofeng Zheng de l’équipe Blue Lotus, Université Tsinghua

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une personne ayant physiquement accès à un appareil iOS peut lire les données du cache des apps Apple.

    Description : les données du cache ont été chiffrées avec une clé protégée uniquement par l’UID du matériel. Ce problème a été résolu par le chiffrement des données du cache à l’aide d’une clé protégée par l’UID matériel et par le code d’accès de l’utilisateur.

    Référence CVE

    CVE-2015-5898 : Andreas Kurtz de NESO Security Labs

  • CoreCrypto

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un attaquant peut être en mesure de déterminer une clé privée.

    Description : en observant de nombreuses tentatives de signature ou de déchiffrement, un attaquant peut être en mesure de déterminer la clé privée RSA. Ce problème a été résolu par l’amélioration des algorithmes de chiffrement utilisés.

  • CoreText

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : le traitement d’un fichier de polices malveillant peut entraîner une exécution de code arbitraire.

    Description : un problème de corruption de la mémoire survenait dans le traitement des fichiers de polices. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5874 : John Villamil (@day6reak), l’équipe Yahoo Pentest

  • Data Detectors Engine

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : le traitement d’un fichier texte malveillant peut entraîner une exécution de code arbitraire.

    Description : des problèmes de corruption de la mémoire survenaient dans le traitement des fichiers texte. Ils ont été résolus par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5829 : M1x7e1 de l’équipe de Safeye (www.safeye.org)

  • Dev Tools

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : dyld présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5876 : beist de GrayHash

  • Disk Images

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : DiskImages présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5847 : Filippo Bigarella et Luca Todesco

  • dyld

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une application peut être en mesure de contourner la signature de code.

    Description : un problème de validation de la signature de code des fichiers exécutables a été détecté. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5839 : @PanguTeam et l’équipe de TaiG Jailbreak

  • GasGauge

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code arbitraire avec des privilèges du noyau.

    Description : le noyau présentait plusieurs problèmes de corruption de la mémoire. Ils ont été résolus par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-5918 : Apple

    CVE-2015-5919 : Apple

  • ICU

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : ICU présente plusieurs vulnérabilités.

    Description : les versions d’ICU antérieures à la version 53.1.0 présentaient plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour d’ICU vers la version 55.1.

    Références CVE

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand de Google Project Zero

  • IOAcceleratorFamily

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème divulguant le contenu de la mémoire du noyau a été détecté. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5834 : Cererdlong de l’équipe d’Alibaba Mobile Security

  • IOAcceleratorFamily

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : IOAcceleratorFamily présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5848 : Filippo Bigarella

  • IOKit

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : le noyau présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-5844 : Filippo Bigarella

    CVE-2015-5845 : Filippo Bigarella

    CVE-2015-5846 : Filippo Bigarella

  • IOMobileFrameBuffer

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code arbitraire avec des privilèges système.

    Description : IOMobileFrameBuffer présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5843 : Filippo Bigarella

  • IOStorageFamily

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un attaquant local peut être en mesure de lire la mémoire du noyau.

    Description : le noyau présentait un problème d’initialisation de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5863 : Ilja van Sprundel d’IOActive

  • Kernel

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code arbitraire avec des privilèges du noyau.

    Description : le noyau présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-5868 : Cererdlong de l’équipe d’Alibaba Mobile Security

    CVE-2015-5896 : Maxime Villard de m00nbsd

    CVE-2015-5903 : CESG

  • Kernel

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un attaquant local peut contrôler la valeur des cookies de pile.

    Description : la génération des cookies de pile dans l’espace utilisateur présentait plusieurs failles. Le problème a été résolu par une amélioration de la génération des cookies de pile.

    Référence CVE

    CVE-2013-3951 : Stefan Esser

  • Kernel

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un processus local peut modifier d’autres processus sans vérification des droits.

    Description : les processus racine utilisant l’API processor_set_tasks étaient autorisés à récupérer les ports de tâche des autres processus. Ce problème a été résolu par une vérification supplémentaire des autorisations.

    Référence CVE

    CVE-2015-5882 : Pedro Vilaça, à partir des recherches menées par Ming-chieh Pan et Sung-ting Tsai ; Jonathan Levin

  • Kernel

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un attaquant se trouvant dans une segmentation locale du réseau LAN peut désactiver le routage IPv6.

    Description : un nombre insuffisant de validation affectait le traitement des messages d’annonce du routeur IPv6, ce qui permettait à un attaquant d’attribuer une valeur arbitraire au nombre limite de sauts. Ce problème a été résolu par l’application d’une limite de sauts minimale.

    Référence CVE

    CVE-2015-5869 : Dennis Spindel Ljungmark

  • Kernel

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : XNU présentait un problème qui entraînait la divulgation de la mémoire du noyau. Ce problème a été résolu par l’amélioration de l’initialisation des structures de la mémoire du noyau.

    Référence CVE

    CVE-2015-5842 : beist de GrayHash

  • Kernel

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service du système.

    Description : un problème de montage du lecteur HFS a été détecté. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-5748 : Maxime Villard de m00nbsd

  • libpthread

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : un utilisateur local peut être en mesure d’exécuter du code arbitraire avec des privilèges du noyau.

    Description : le noyau présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5899 : Lufeng Li de l’équipe de Qihoo 360 Vulcan

  • PluginKit

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : une application d’entreprise malveillante peut installer des extensions avant que l’application ne soit considérée comme étant fiable.

    Description : un problème affectait la validation des extensions lors de l’installation. Ce problème a été résolu par une amélioration de la vérification de l’application.

    Référence CVE

    CVE-2015-5837 : Zhaofeng Chen, Hui Xue et Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : le traitement des données malveillantes peut entraîner la fermeture inopinée de l’application.

    Description : un problème de dépassement de capacité a été détecté dans les routines de division checkint. Ce problème a été résolu par une amélioration des routines de division.

    Référence CVE

    CVE-2015-5840 : un chercheur anonyme

  • SQLite

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : SQLite 3.8.5 présente plusieurs vulnérabilités.

    Description : SQLite 3.8.5 présentait plusieurs vulnérabilités. Ces problèmes ont été résolus par la mise à jour de SQLite vers la version 3.8.10.2.

    Références CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition

    Conséquence : la consultation d’un site web malveillant peut entraîner une exécution de code arbitraire.

    Description : Tidy présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Références CVE

    CVE-2015-5522 : Fernando Muñoz de NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz de NULLGroup.com

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: