A watchOS 2.1 biztonsági tartalma

Ez a dokumentum a watchOS 2.1 biztonsági tartalmát ismerteti.

Vásárlói védelme érdekében az Apple nem hoz nyilvánosságra, tárgyal, illetve erősít meg biztonsági problémákat addig, amíg le nem zajlott a probléma teljes körű kivizsgálása, és el nem érhetők a szükséges javítások vagy szoftverkiadások. Az Apple-termékekkel kapcsolatos biztonsági kérdésekről az Apple termékbiztonsági oldalán olvashat bővebben.

Az Apple termékbiztonsági PGP-kulcsáról Az Apple termékbiztonsági PGP-kulcs használata című cikkben talál bővebb információkat.

Ahol csak lehetséges, a cikk CVE-azonosítójuk alapján hivatkozik az egyes biztonsági résekre.

Más biztonsági frissítésekről Az Apple biztonsági frissítései című cikkből tájékozódhat.

watchOS 2.1

  • AppSandbox

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A rosszindulatú alkalmazások azután is hozzá tudtak férni a Kontaktokhoz, hogy megtagadták tőlük a hozzáférést.

    Leírás: Fellépett egy hiba a rögzített hivatkozások sandbox általi kezelésekor. Azáltal hárították el a problémát, hogy megerősítették az alkalmazás sandboxának védelmét.

    CVE-azonosító

    CVE-2015-7001 : Razvan Deaconescu és Mihai Bucicoiu (University POLITEHNICA, Bucharest), Luke Deshotels és William Enck (North Carolina State University), Lucas Vincenzo Davi és Ahmad-Reza Sadeghi (TU Darmstadt)

  • Tömörítés

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Nem inicializált memória-hozzáféréssel kapcsolatos probléma állt fenn a zlib esetén. Hatékonyabb memóriainicializálással és a zlib-streamek további ellenőrzésével küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7054 : j00ru

  • CoreGraphics

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a betűtípusfájlok feldolgozásakor. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7105 : John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba lépett fel a hibás formázású médiafájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7075

  • dyld

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Szegmensérvényesítési hiba állt fenn a dyld esetén. Hatékonyabb környezettisztítással hárították el a problémát.

    CVE-azonosító

    CVE-2015-7072 : Apple

  • FontParser

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott betűtípusfájlok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fellépett a betűtípusfájlok feldolgozásakor. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-6978 : Jaanus Kp, Clarified Security, a HP Zero Day Initiative kezdeményezésének közreműködőjeként

  • GasGauge

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülési hiba állt fenn a kernelben. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-6979 : PanguTeam

  • ImageIO

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott képek feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülést okozó hiba állt fenn az ImageIO esetén. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7053 : Apple

  • IOHIDFamily

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az IOHIDFamily esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7111 : beist és ABH (BoB)

    CVE-2015-7112 : Ian Beer (Google Project Zero)

  • IOKit SCSI

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A kernelszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Címke nélküli mutatófeloldási hiba lépett fel egy bizonyos típusú userclient kezelésekor. Hatékonyabb ellenőrzéssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7068 : Ian Beer (Google Project Zero)

  • Kernel

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy szolgáltatásmegtagadással kapcsolatos problémát.

    CVE-azonosító

    CVE-2015-7040 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7041 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7042 : Lufeng Li (Qihoo 360 Vulcan Team)

    CVE-2015-7043 : Tarjei Mandt (@kernelpool)

  • Kernel

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Fellépett egy hiba a Mach-üzenetek elemzésekor. A Mach-üzenetek hatékonyabb ellenőrzésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-7047 : Ian Beer (Google Project Zero)

  • Kernel

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A helyi felhasználók kernelszintű jogosultsággal tetszőleges kódvégrehajtást tudtak előidézni.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn a kernelben. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7083 : Ian Beer (Google Project Zero)

    CVE-2015-7084 : Ian Beer (Google Project Zero)

  • LaunchServices

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A rendszerszintű jogosultsággal rendelkező rosszindulatú alkalmazások tetszőleges programkódot tudtak végrehajtani.

    Leírás: Memóriasérülési hiba lépett fel a hibás formázású plist-fájlok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7113 : Olivier Goguel (Free Tools Association)

  • libarchive

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Memóriasérülési hiba lépett fel az archívumok feldolgozásakor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2011-2895 : @practicalswift

  • libc

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott csomagok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, puffertúlcsordulást okozó probléma állt fenn a szabványos C-könyvtárban. Hatékonyabb határérték-ellenőrzéssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7038 : Brian D. Wells (E. W. Scripps),  Narayan Subramanian (Symantec Corporation/Veritas LLC)

    CVE-2015-7039 : Maksymilian Arciemowicz (CXSECURITY.COM)

    A bejegyzés frissítve: 2017. március 3.

  • mDNSResponder

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A távoli alkalmazások szolgáltatásmegtagadást tudtak előidézni.

    Leírás: Hatékonyabb memóriakezeléssel elhárítottak egy címke nélküli mutatófeloldási hibát.

    CVE-azonosító

    CVE-2015-7988 : Alexandre Helie

  • OpenGL

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott webhelyek meglátogatásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több memóriasérülési hiba is fennállt az OpenGL esetén. Hatékonyabb memóriakezeléssel küszöbölték ki a problémákat.

    CVE-azonosító

    CVE-2015-7064 : Apple

    CVE-2015-7066 : Tongbo Luo és Bo Qu (Palo Alto Networks)

  • Sandbox

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: A gyökérszintű jogosultsággal rendelkező rosszindulatú alkalmazások meg tudták kerülni a kernel véletlenszerű címtér-elrendezéses védelmét.

    Leírás: Jogosultság-szétválasztási hiba állt fenn az xnu esetén. Hatékonyabb jogosultságellenőrzéssel küszöbölték ki a problémát.

    CVE-azonosító

    CVE-2015-7046 : Apple

  • Biztonság

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Egy távoli támadó váratlan alkalmazásleállást tudott előidézni, illetve tetszőleges programkódot tudott végrehajtani.

    Leírás: Memóriasérülést okozó hiba lépett fel az SSL-kézfogások kezelésekor. Hatékonyabb memóriakezeléssel hárították el a problémát.

    CVE-azonosító

    CVE-2015-7073 : Benoit Foucher (ZeroC, Inc.)

  • Biztonság

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy az ártó szándékkal létrehozott tanúsítványok feldolgozásakor tetszőleges programkód végrehajtására került sor.

    Leírás: Több, memóriasérüléssel kapcsolatos probléma állt fenn az ASN.1 dekóderben. Hatékonyabb bevitel-ellenőrzéssel hárították el a problémákat

    CVE-azonosító

    CVE-2015-7059 : David Keeler (Mozilla)

    CVE-2015-7060 : Tyson Smith (Mozilla)

    CVE-2015-7061 : Ryan Sleevi (Google)

  • Biztonság

    A következőkhöz érhető el: Apple Watch Sport, Apple Watch, Apple Watch Edition és Apple Watch Hermès.

    Érintett terület: Előfordult, hogy a visszavonás-ellenőrzés megkövetelésére konfigurált megbízhatóság-kiértékelés akkor is sikeres volt, ha nem teljesültek a visszavonás-ellenőrzés feltételei.

    Leírás: A kSecRevocationRequirePositiveResponse jelölő meghatározásra került, de nem ment végbe az érvényesítése. A jelölő érvényesítésével hárították el a problémát.

    CVE-azonosító

    CVE-2015-6997 : Apple

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Az internet használata kockázatokkal jár. Forduljon a gyártóhoz további információkért. A többi vállalat- és terméknév tulajdonosának védjegye lehet.

Közzététel dátuma: