Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête approfondie n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Pour obtenir des informations supplémentaires sur la sécurité produit d’Apple, consultez le site Web Sécurité produit d’Apple.
Pour en savoir plus sur la clé PGP de sécurité produit d’Apple, consultez l’article Comment utiliser la clé PGP du groupe de sécurité produit d’Apple.
Des références CVE sont utilisées, le cas échéant, pour répertorier les vulnérabilités et fournir des informations supplémentaires.
Pour obtenir des informations sur les autres mises à jour de sécurité, consultez l’article Mises à jour de sécurité Apple.
watchOS 2
Apple Pay
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : lors du paiement, certaines cartes peuvent autoriser un terminal à accéder à des informations limitées, portant sur des transactions récentes.
Description : la fonctionnalité de journalisation des transactions était activée pour certaines configurations. Ce problème a été résolu par la désactivation de la fonctionnalité de journalisation.
Référence CVE
CVE-2015-5916
Audio
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : la lecture d’un fichier audio malveillant peut provoquer un arrêt inattendu de l’application.
Description : la gestion des fichiers audio présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5862 : YoungJin Yoon d’Information Security Lab (Prof. Taekyoung Kwon), Université de Yonsei, Seoul, Corée.
Politique de fiabilité des certificats
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : la politique de fiabilité des certificats est mise à jour.
Description : la politique de fiabilité des certificats était mise à jour. La liste complète des certificats peut être consultée à l’adresse https://support.apple.com/kb/HT204873?viewlocale=fr_FR.
CFNetwork
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un attaquant bénéficiant d’une position privilégiée sur le réseau peut intercepter les connexions s’effectuant via le protocole SSL/TLS.
Description : un problème de validation de certificat existait dans NSURL, lorsqu’un certificat était modifié. Ce problème a été résolu par une meilleure validation des certificats.
Référence CVE
CVE-2015-5824 : Timothy J. Wood de The Omni Group.
CFNetwork
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : la connexion à un proxy Web malveillant est susceptible d’entraîner la configuration de cookies malveillants pour un site Web.
Description : un problème survenait lors de la gestion des réponses aux demandes de connexion du proxy. Ce problème a été résolu par la suppression de l’en-tête set-cookie lors de l’analyse de la réponse de connexion.
Référence CVE
CVE-2015-5841 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).
CFNetwork
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un attaquant profitant d’une position privilégiée sur le réseau peut traquer les activités d’un utilisateur.
Description : la gestion des domaines de niveau supérieur présentait un problème de cookie valable pour plusieurs domaines. Le problème a été résolu par une amélioration des restrictions applicables à la création de cookies.
Référence CVE
CVE-2015-5885 : Xiaofeng Zheng de la Blue Lotus Team (Tsinghua University).
CFNetwork
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : une personne disposant d’un accès physique à un appareil iOS peut lire des données provenant du cache d’applications Apple.
Description : les données du cache étaient chiffrées à l’aide d’une clé protégée uniquement par l’UID matériel. Ce problème a été résolu par le chiffrement des données du cache à l’aide d’une clé protégée par l’UID matériel et par le code d’accès de l’utilisateur.
Référence CVE
CVE-2015-5898 : Andreas Kurtz de NESO Security Labs.
CoreCrypto
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un attaquant peut être en mesure d’obtenir une clé privée.
Description : un attaquant pouvait être en mesure d’obtenir la clé privée RSA en évaluant les tentatives de connexion ou de déchiffrement. Ce problème a été résolu par l’amélioration des algorithmes de chiffrement utilisés.
CoreText
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : le traitement d’un fichier de polices malveillant peut entraîner l’exécution arbitraire de code.
Description : un problème de corruption de la mémoire existait au niveau du traitement des fichiers de police. Ce problème a été résolu par une meilleure validation des entrées.
Référence CVE
CVE-2015-5874 : John Villamil (@day6reak), Yahoo Pentest Team.
Data Detectors Engine
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : le traitement d’un fichier texte malveillant peut entraîner l’exécution arbitraire de code.
Description : des problèmes de corruption de la mémoire survenaient lors du traitement des fichiers texte. Ces problèmes ont été résolus par une meilleure vérification des limites.
Référence CVE
CVE-2015-5829 : M1x7e1 de la Safeye Team (www.safeye.org).
Outils de développement
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Description : dyld présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5876 : beist de grayhash.
Images disque
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.
Description : DiskImages présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5847 : Filippo Bigarella, Luca Todesco.
dyld
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : une application peut contourner les vérifications de signature de code.
Description : un problème existait au niveau de la validation de la signature de code des fichiers exécutables. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2015-5839 : @PanguTeam, TaiG Jailbreak Team.
GasGauge
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.
Description : plusieurs problèmes de corruption de la mémoire survenaient au niveau du noyau. Ces problèmes ont été résolus par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5918 : Apple.
CVE-2015-5919 : Apple.
ICU
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : ICU présente plusieurs vulnérabilités.
Description : plusieurs vulnérabilités affectaient les versions d’ICU antérieures à la version 53.1.0. Elles ont été résolues par une mise à jour d’ICU vers la version 55.1.
Référence CVE
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : une application malveillante peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : un problème entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par une meilleure vérification des limites.
Référence CVE
CVE-2015-5834 : Cererdlong de l’Alibaba Mobile Security Team.
IOAcceleratorFamily
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.
Conséquence : un problème de corruption de la mémoire existait dans IOAcceleratorFamily. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5848 : Filippo Bigarella.
IOKit
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : une application malveillante peut exécuter un code arbitraire avec des privilèges système.
Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5844 : Filippo Bigarella.
CVE-2015-5845 : Filippo Bigarella.
CVE-2015-5846 : Filippo Bigarella.
IOMobileFrameBuffer
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut exécuter un code arbitraire avec des privilèges système.
Conséquence : un problème de corruption de la mémoire existait dans IOMobileFrameBuffer. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5843 : Filippo Bigarella.
IOStorageFamily
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un attaquant local peut être en mesure de lire la mémoire du noyau.
Description : un problème d’initialisation de la mémoire existait au niveau du noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5863 : Ilja van Sprundel d’IOActive.
Noyau
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.
Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5868 : Cererdlong de l’Alibaba Mobile Security Team.
CVE-2015-5896 : Maxime Villard de m00nbsd.
CVE-2015-5903 : CESG.
Noyau
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un attaquant local peut contrôler la valeur des cookies de pile.
Description : la génération des cookies de pile présentait plusieurs problèmes. Le problème a été résolu par une amélioration de la génération des cookies de pile.
Référence CVE
CVE-2013-3951 : Stefan Esser.
Noyau
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un processus local peut modifier d’autres processus sans vérifier les autorisations.
Description : les processus racine utilisant l’API processor_set_tasks étaient autorisés à récupérer les ports de tâche d’autres processus. Ce problème a été résolu par une vérification supplémentaire des autorisations.
Référence CVE
CVE-2015-5882 : Pedro Vilaça, à partir d’une recherche menée par Ming-chieh Pan et Sung-ting Tsai ; Jonathan Levin.
Noyau
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un attaquant se trouvant dans un segment LAN local peut désactiver le routage IPv6.
Description : un problème de validation insuffisante survenait lors de la gestion des annonces du routeur IPv6, ce qui permettait à un attaquant de régler la limite de sauts sur une valeur arbitraire. Ce problème a été résolu par l’application d’une limite de sauts minimale.
Référence CVE
CVE-2015-5869 : Dennis Spindel Ljungmark.
Noyau
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut être en mesure de déterminer la structure de la mémoire du noyau.
Description : XNU présentait un problème, qui entraînait la divulgation du contenu de la mémoire du noyau. Ce problème a été résolu par l’amélioration de l’initialisation des structures de la mémoire du noyau.
Référence CVE
CVE-2015-5842 : beist de grayhash.
Noyau
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut être à l’origine d’un déni de service.
Description : un problème survenait lors du montage de lecteurs HFS. Ce problème a été résolu par l’ajout de vérifications supplémentaires.
Référence CVE
CVE-2015-5748 : Maxime Villard de m00nbsd.
libpthread
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : un utilisateur local peut être en mesure d’exécuter un code arbitraire avec des privilèges noyau.
Conséquence : un problème de corruption de la mémoire existait dans le noyau. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5899 : Lufeng Li de la Qihoo 360 Vulcan Team.
PluginKit
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : une application malveillante d’entreprise peut installer des extensions avant d’avoir été jugée fiable.
Description : la validation des extensions lors de l’installation présentait un problème. Ce problème a été résolu par une amélioration de la vérification de l’application.
Référence CVE
CVE-2015-5837 : Zhaofeng Chen, Hui Xue et Tao (Lenx) Wei de FireEye, Inc.
removefile
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : le traitement de données malveillantes est susceptible de provoquer un arrêt inattendu de l’application.
Description : un problème de dépassement de capacité existait au niveau des routines de division checkint. Ce problème a été résolu par une amélioration des routines de division.
Référence CVE
CVE-2015-5840 : un chercheur anonyme.
SQLite
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : SQLite 3.8.5 présentait plusieurs vulnérabilités.
Description : plusieurs vulnérabilités affectaient SQLite 3.8.5. Celles-ci ont été corrigées par la mise à jour de SQLite vers la version 3.8.10.2.
Référence CVE
CVE-2015-5895
tidy
Disponible pour : Apple Watch Sport, Apple Watch et Apple Watch Edition.
Conséquence : la consultation d’un site Web malveillant peut conduire à l’exécution arbitraire de code.
Description : tidy présentait un problème de corruption de la mémoire. Ce problème a été résolu par une meilleure gestion de la mémoire.
Référence CVE
CVE-2015-5522 : Fernando Muñoz de NULLGroup.com.
CVE-2015-5523 : Fernando Muñoz de NULLGroup.com.