Mengenai konten keamanan watchOS 2

Dokumen ini menjelaskan konten keamanan watchOS 2.

Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari Pembaruan Keamanan lebih lanjut, lihat Pembaruan Keamanan Apple.

watchOS 2

  • Apple Pay

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Beberapa kartu mungkin mengizinkan terminal mengambil informasi transaksi terkini secara terbatas saat melakukan pembayaran

    Deskripsi: Fungsionalitas log transaksi diaktifkan pada konfigurasi tertentu. Masalah ini telah diatasi dengan menghapus fungsionalitas log transaksi.

    CVE-ID

    CVE-2015-5916

  • Audio

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memutar file audio berbahaya dapat mengakibatkan app berhenti secara tidak terduga

    Deskripsi: Masalah kerusakan memori muncul saat menangani file audio. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon dari Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • Certificate Trust Policy

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pembaruan pada kebijakan kepercayaan sertifikat

    Deskripsi: Sertifikat kebijakan kepercayaan telah diperbarui. Daftar lengkap sertifikat dapat dilihat di https://support.apple.com/HT204873.

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mencegat koneksi SSL/TLS

    Deskripsi: Masalah validasi sertifikat muncul di NSURL ketika sertifikat diubah. Masalah ini telah diatasi melalui validasi sertifikat yang lebih baik.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood dari The Omni Group

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Menghubungkan ke proxy web berbahaya dapat mengatur cookie berbahaya untuk situs web

    Deskripsi: Masalah muncul saat menangani respons sambungan proxy. Masalah ini telah diatasi dengan menghapus header set-cookie saat menguraikan respons sambungan.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa dapat melacak aktivitas pengguna

    Deskripsi: Masalah cookie lintas-domain muncul saat menangani domain tingkat atas. Masalah ini telah diatasi melalui pembatasan pembuatan cookie yang lebih baik.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Seseorang yang memiliki akses fisik ke perangkat iOS dapat membaca data cache dari app Apple

    Deskripsi: Data cache dienkripsi dengan kunci yang hanya dilindungi oleh UID perangkat keras. Masalah ini telah diatasi dengan mengenkripsikan data cache dengan kunci yang dilindungi oleh UID perangkat keras dan kode sandi pengguna.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz dari NESO Security Labs

  • CoreCrypto

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang mungkin dapat menentukan kunci pribadi

    Deskripsi: Dengan mengamati banyak upaya penandatanganan atau dekripsi, penyerang mungkin dapat menentukan kunci privat RSA. Masalah ini telah diatasi dengan menggunakan algoritma enkripsi yang lebih baik.

  • CoreText

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat pemrosesan file font. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori muncul saat pemrosesan file teks. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.

    CVE-ID

    CVE-2015-5829: M1x7e1 dari Safeye Team (www.safeye.org)

  • Dev Tools

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul di dyld. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5876: beist dari grayhash

  • Disk Images

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul di DiskImages. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi mungkin dapat melewati penandatanganan kode

    Deskripsi: Sebuah masalah muncul dengan validasi tanda tangan kode dari file yang dapat dieksekusi. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori muncul di kernel. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Beberapa kerentanan di ICU

    Deskripsi: Beberapa kerentanan muncul di ICU versi sebelum 53.1.0. Masalah ini telah diatasi dengan memperbarui ICU ke versi 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand dari Google Project Zero

  • IOAcceleratorFamily

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: App berbahaya mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Ada masalah yang menyebabkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.

    CVE-ID

    CVE-2015-5834: Cererdlong dari Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul di IOAcceleratorFamily. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori muncul di IOMobileFrameBuffer. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang lokal mungkin dapat membaca memori kernel

    Deskripsi: Masalah inisialisasi memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel dari IOActive

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5868: Cererdlong dari Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard dari m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang lokal dapat mengontrol nilai tumpukan cookie

    Deskripsi: Berbagai kelemahan muncul dalam pembuatan cookie tumpukan ruang pengguna. Masalah ini telah diatasi melalui pembuatan cookie tumpukan yang lebih baik.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Proses lokal bisa memodifikasi proses lain tanpa pemeriksaan hak

    Deskripsi: Masalah muncul saat proses root menggunakan API processor_set_tasks diizinkan mengambil port tugas dari proses lain. Masalah ini telah diatasi melalui pemeriksaan hak tambahan yang sah.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, yang bekerja berdasarkan riset asli ole Ming-chieh Pan dan Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang di segmen LAN lokal dapat menonaktifkan perutean IPv6

    Deskripsi: Masalah validasi yang tidak mencukupi terjadi saat menangani iklan router IPv6 yang memungkinkan penyerang menetapkan batas hop ke nilai sewenang-wenang. Masalah ini telah diatasi dengan menerapkan batas hop minimum.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Ada masalah di XNU yang menyebabkan pengungkapan memori kernel. Masalah ini telah diatasi melalui inisialisasi struktur memori kernel yang lebih baik.

    CVE-ID

    CVE-2015-5842: beist dari grayhash

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat menyebabkan penolakan layanan sistem

    Deskripsi: Masalah muncul pada pemasangan drive HFS. Masalah ini telah diatasi dengan pemeriksaan validasi tambahan.

    CVE-ID

    CVE-2015-5748: Maxime Villard dari m00nbsd

  • libpthread

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.

    CVE-ID

    CVE-2015-5899: Lufeng Li dari Qihoo 360 Vulcan Team

  • PluginKit

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi perusahaan yang berbahaya dapat menginstal ekstensi sebelum aplikasi tersebut dipercaya

    Deskripsi: Masalah muncul dalam validasi ekstensi selama instalasi. Masalah ini telah diatasi melalui verifikasi app yang lebih baik.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.

  • removefile

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memproses data berbahaya dapat menyebabkan penghentian aplikasi secara tidak terduga

    Deskripsi: Kesalahan kelebihan terjadi dalam rutinitas divisi checkint. Masalah ini telah diatasi dengan rutin divisi yang lebih baik.

    CVE-ID

    CVE-2015-5840: peneliti anonim

  • SQLite

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Beberapa kerentanan di SQLite v3.8.5

    Deskripsi: Ada beberapa kerentanan di SQLite v3.8.5. Masalah ini telah diatasi dengan memperbarui SQLite ke versi 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori terjadi di Tidy. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.

    CVE-ID

    CVE-2015-5522 : Fernando Muñoz dari NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz dari NULLGroup.com

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: