À propos des correctifs de sécurité de watchOS 2.

Ce document décrit les correctifs de sécurité de watchOS 2.

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.

Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.

Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.

Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.

watchOS 2

  • Apple Pay

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : lors du paiement, certaines cartes peuvent autoriser un terminal à accéder à des informations limitées, portant sur des transactions récentes.

    Description : la fonctionnalité de journalisation des transactions était activée pour certaines configurations. Ce problème a été résolu par la désactivation de la fonctionnalité de journalisation.

    Référence CVE

    CVE-2015-5916

  • Audio

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : la lecture d’un fichier audio malveillant peut provoquer un arrêt inattendu de l’application.

    Description : la gestion des fichiers audio présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5862 : YoungJin Yoon d’Information Security Lab (Prof. Taekyoung Kwon), Université de Yonsei, Seoul, Corée.

  • Politique de fiabilité des certificats

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : la politique de fiabilité des certificats est mise à jour.

    Description : la politique de fiabilité des certificats était mise à jour. La liste complète des certificats peut être consultée à l’adresse https://support.apple.com/kb/HT204873?viewlocale=fr_FR.

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les connexions s’effectuant via le protocole SSL/TLS.

    Description : un problème de validation de certificat existait dans NSURL, lorsqu’un certificat était modifié. Ce problème a été résolu par une meilleure validation des certificats.

    Référence CVE

    CVE-2015-5824 : Timothy J. Wood de The Omni Group.

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : la connexion à un proxy Web malveillant est susceptible d’entraîner la configuration de cookies malveillants pour un site Web.

    Description : un problème survenait lors de la gestion des réponses aux demandes de connexion du proxy. Ce problème a été résolu par la suppression de l’en-tête set-cookie lors de l’analyse de la réponse de connexion.

    Référence CVE

    CVE-2015-5841 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un attaquant profitant d’une position privilégiée sur le réseau peut traquer les activités d’un utilisateur.

    Description : la gestion des domaines de niveau supérieur présentait un problème de cookie valable pour plusieurs domaines. Le problème a été résolu par une amélioration des restrictions applicables à la création de cookies.

    Référence CVE

    CVE-2015-5885 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).

  • CFNetwork

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : une personne disposant d’un accès physique à un appareil iOS peut lire des données provenant du cache d’applications Apple.

    Description : les données du cache étaient chiffrées à l’aide d’une clé protégée uniquement par l’UID matériel. Ce problème a été résolu par le chiffrement des données du cache à l’aide d’une clé protégée par l’UID matériel et par le code d’accès de l’utilisateur.

    Référence CVE

    CVE-2015-5898 : Andreas Kurtz de NESO Security Labs.

  • CoreCrypto

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un attaquant peut être en mesure d’obtenir une clé privée.

    Description : un attaquant pouvait être en mesure d’obtenir la clé privée RSA en évaluant les tentatives de connexion ou de déchiffrement. Ce problème a été résolu par l’amélioration des algorithmes de chiffrement utilisés.

  • CoreText

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.

    Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.

    Référence CVE

    CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team.

  • Data Detectors Engine

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : le traitement d’un fichier texte malveillant peut entraîner l’exécution arbitraire de code.

    Description : des problèmes de corruption de la mémoire survenaient lors du traitement des fichiers texte. Ces problèmes ont été résolus par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5829 : M1x7e1 de la Safeye Team (www.safeye.org).

  • Outils de développement

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Description : dyld présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5876 : beist de grayhash.

  • Images disque

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Description : DiskImages présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco.

  • dyld

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : une application peut contourner les vérifications de signature de code.

    Description : un problème existait au niveau de la validation de la signature de code des fichiers exécutables. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team.

  • GasGauge

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Description : plusieurs problèmes de corruption de la mémoire survenaient au niveau du noyau. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5918 : Apple.

    CVE-2015-5919 : Apple.

  • ICU

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : ICU présente plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient les versions d’ICU antérieures à la version 53.1.0. Elles ont été résolues par une mise à jour d’ICU vers la version 55.1.

    Référence CVE

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : un problème entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites.

    Référence CVE

    CVE-2015-5834 : Cererdlong de l’Alibaba Mobile Security Team.

  • IOAcceleratorFamily

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Conséquence : un problème de corruption de la mémoire existait dans IOAcceleratorFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5848 : Filippo Bigarella.

  • IOKit

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.

    Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5844 : Filippo Bigarella.

    CVE-2015-5845 : Filippo Bigarella.

    CVE-2015-5846 : Filippo Bigarella.

  • IOMobileFrameBuffer

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.

    Conséquence : un problème de corruption de la mémoire existait dans IOMobileFrameBuffer. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5843 : Filippo Bigarella.

  • IOStorageFamily

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un attaquant local peut être en mesure de lire la mémoire du noyau.

    Description : un problème d’initialisation de la mémoire existait au niveau du noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5863 : Ilja van Sprundel d’IOActive.

  • Noyau

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5868 : Cererdlong de l’Alibaba Mobile Security Team.

    CVE-2015-5896 : Maxime Villard de m00nbsd.

    CVE-2015-5903 : CESG.

  • Noyau

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un attaquant local peut contrôler la valeur des cookies de pile.

    Description : la génération des cookies de pile présentait plusieurs problèmes. Le problème a été résolu par une amélioration de la génération des cookies de pile.

    Référence CVE

    CVE-2013-3951 : Stefan Esser.

  • Noyau

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un processus local peut modifier d’autres processus sans vérifier les autorisations.

    Description : les processus racine utilisant l’API processor_set_tasks étaient autorisés à récupérer les ports de tâche d’autres processus. Ce problème a été résolu par une vérification supplémentaire des autorisations.

    Référence CVE

    CVE-2015-5882 : Pedro Vilaça, à partir d’une recherche menée par Ming-chieh Pan et Sung-ting Tsai ; Jonathan Levin.

  • Noyau

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un attaquant se trouvant dans un segment LAN local peut désactiver le routage IPv6.

    Description : un problème de validation insuffisante survenait lors de la gestion des annonces du routeur IPv6, ce qui permettait à un attaquant de régler la limite de sauts sur une valeur arbitraire. Ce problème a été résolu par l’application d’une limite de sauts minimale.

    Référence CVE

    CVE-2015-5869 : Dennis Spindel Ljungmark.

  • Noyau

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.

    Description : XNU présentait un problème, qui entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par l’amélioration de l’initialisation des structures de la mémoire du noyau.

    Référence CVE

    CVE-2015-5842 : beist de grayhash.

  • Noyau

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut être à l’origine d’un déni de service.

    Description : un problème survenait lors du montage de lecteurs HFS. Ce problème a été résolu par l’ajout de vérifications supplémentaires.

    Référence CVE

    CVE-2015-5748 : Maxime Villard de m00nbsd.

  • libpthread

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.

    Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5899 : Lufeng Li de la Qihoo 360 Vulcan Team.

  • PluginKit

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : une application malveillante d’entreprise peut installer des extensions avant d’avoir été jugée fiable.

    Description : la validation des extensions lors de l’installation présentait un problème. Ce problème a été résolu par une amélioration de la vérification de l’application.

    Référence CVE

    CVE-2015-5837 : Zhaofeng Chen, Hui Xue et Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : le traitement de données malveillantes est susceptible de provoquer un arrêt inattendu de l’application.

    Description : un problème de dépassement de capacité existait au niveau des routines de division checkint. Ce problème a été résolu par une amélioration des routines de division.

    Référence CVE

    CVE-2015-5840 : un chercheur anonyme.

  • SQLite

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : SQLite 3.8.5 présentait plusieurs vulnérabilités.

    Description : plusieurs vulnérabilités affectaient SQLite 3.8.5. Celles-ci ont été corrigées par la mise à jour de SQLite vers la version 3.8.10.2.

    Référence CVE

    CVE-2015-5895

  • tidy

    Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.

    Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.

    Description : tidy présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.

    Référence CVE

    CVE-2015-5522 : Fernando Muñoz de NULLGroup.com.

    CVE-2015-5523 : Fernando Muñoz de NULLGroup.com.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu pour responsable de tout problème lié à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web, ou l’exactitude des informations que ce dernier propose. L’utilisation d’Internet induit en effet des risques. Contactez le fournisseur pour obtenir des informations supplémentaires. Les autres noms de société et de produit peuvent constituer des marques déposées de leurs détenteurs respectifs.

Date de publication: