Mengenai konten keamanan watchOS 2
Dokumen ini menjelaskan konten keamanan watchOS 2.
Demi melindungi pelanggan kami, Apple tidak mengungkap, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lebih lanjut, lihat Pembaruan Keamanan Apple.
watchOS 2
Apple Pay
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Beberapa kartu mungkin mengizinkan terminal mengambil informasi transaksi terkini secara terbatas saat melakukan pembayaran
Deskripsi: Fungsionalitas log transaksi diaktifkan pada konfigurasi tertentu. Masalah ini telah diatasi dengan menghapus fungsionalitas log transaksi.
CVE-ID
CVE-2015-5916
Audio
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Memutar file audio berbahaya dapat mengakibatkan app berhenti secara tidak terduga
Deskripsi: Masalah kerusakan memori muncul saat menangani file audio. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5862: YoungJin Yoon dari Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
Certificate Trust Policy
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pembaruan pada kebijakan kepercayaan sertifikat
Deskripsi: Sertifikat kebijakan kepercayaan telah diperbarui. Daftar lengkap sertifikat dapat dilihat di https://support.apple.com/HT204873.
CFNetwork
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mencegat koneksi SSL/TLS
Deskripsi: Masalah validasi sertifikat muncul di NSURL ketika sertifikat diubah. Masalah ini telah diatasi melalui validasi sertifikat yang lebih baik.
CVE-ID
CVE-2015-5824: Timothy J. Wood dari The Omni Group
CFNetwork
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Menghubungkan ke proxy web berbahaya dapat mengatur cookie berbahaya untuk situs web
Deskripsi: Masalah muncul saat menangani respons sambungan proxy. Masalah ini telah diatasi dengan menghapus header set-cookie saat menguraikan respons sambungan.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Penyerang dalam posisi jaringan yang memiliki hak istimewa dapat melacak aktivitas pengguna
Deskripsi: Masalah cookie lintas-domain muncul saat menangani domain tingkat atas. Masalah ini telah diatasi melalui pembatasan pembuatan cookie yang lebih baik.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng dari Blue Lotus Team, Tsinghua University
CFNetwork
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Seseorang yang memiliki akses fisik ke perangkat iOS dapat membaca data cache dari app Apple
Deskripsi: Data cache dienkripsi dengan kunci yang hanya dilindungi oleh UID perangkat keras. Masalah ini telah diatasi dengan mengenkripsikan data cache dengan kunci yang dilindungi oleh UID perangkat keras dan kode sandi pengguna.
CVE-ID
CVE-2015-5898: Andreas Kurtz dari NESO Security Labs
CoreCrypto
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Penyerang mungkin dapat menentukan kunci pribadi
Deskripsi: Dengan mengamati banyak upaya penandatanganan atau dekripsi, penyerang mungkin dapat menentukan kunci privat RSA. Masalah ini telah diatasi dengan menggunakan algoritma enkripsi yang lebih baik.
CoreText
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Memproses file font perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat pemrosesan file font. Masalah ini telah diatasi melalui validasi input yang ditingkatkan.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori muncul saat pemrosesan file teks. Masalah tersebut telah diatasi melalui pemeriksaan pembatasan yang disempurnakan.
CVE-ID
CVE-2015-5829: M1x7e1 dari Safeye Team (www.safeye.org)
Dev Tools
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: App berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori muncul di dyld. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5876: beist dari grayhash
Disk Images
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori muncul di DiskImages. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Aplikasi mungkin dapat melewati penandatanganan kode
Deskripsi: Sebuah masalah muncul dengan validasi tanda tangan kode dari file yang dapat dieksekusi. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Beberapa masalah kerusakan memori muncul di kernel. Masalah tersebut telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Beberapa kerentanan di ICU
Deskripsi: Beberapa kerentanan muncul di ICU versi sebelum 53.1.0. Masalah ini telah diatasi dengan memperbarui ICU ke versi 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand dari Google Project Zero
IOAcceleratorFamily
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: App berbahaya mungkin dapat menentukan tata letak memori kernel
Deskripsi: Ada masalah yang menyebabkan pengungkapan konten memori kernel. Masalah ini telah diatasi melalui pemeriksaan pembatasan yang ditingkatkan.
CVE-ID
CVE-2015-5834: Cererdlong dari Alibaba Mobile Security Team
IOAcceleratorFamily
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori muncul di IOAcceleratorFamily. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Aplikasi berbahaya mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem
Deskripsi: Masalah kerusakan memori muncul di IOMobileFrameBuffer. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Penyerang lokal mungkin dapat membaca memori kernel
Deskripsi: Masalah inisialisasi memori muncul di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5863: Ilja van Sprundel dari IOActive
Kernel
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5868: Cererdlong dari Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard dari m00nbsd
CVE-2015-5903: CESG
Kernel
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Penyerang lokal dapat mengontrol nilai tumpukan cookie
Deskripsi: Berbagai kelemahan muncul dalam pembuatan cookie tumpukan ruang pengguna. Masalah ini telah diatasi melalui pembuatan cookie tumpukan yang lebih baik.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Proses lokal bisa memodifikasi proses lain tanpa pemeriksaan hak
Deskripsi: Masalah muncul saat proses root menggunakan API processor_set_tasks diizinkan mengambil port tugas dari proses lain. Masalah ini telah diatasi melalui pemeriksaan hak tambahan yang sah.
CVE-ID
CVE-2015-5882: Pedro Vilaça, yang bekerja berdasarkan riset asli ole Ming-chieh Pan dan Sung-ting Tsai; Jonathan Levin
Kernel
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Penyerang di segmen LAN lokal dapat menonaktifkan perutean IPv6
Deskripsi: Masalah validasi yang tidak mencukupi terjadi saat menangani iklan router IPv6 yang memungkinkan penyerang menetapkan batas hop ke nilai sewenang-wenang. Masalah ini telah diatasi dengan menerapkan batas hop minimum.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel
Deskripsi: Ada masalah di XNU yang menyebabkan pengungkapan memori kernel. Masalah ini telah diatasi melalui inisialisasi struktur memori kernel yang lebih baik.
CVE-ID
CVE-2015-5842: beist dari grayhash
Kernel
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat menyebabkan penolakan layanan sistem
Deskripsi: Masalah muncul pada pemasangan drive HFS. Masalah ini telah diatasi dengan pemeriksaan validasi tambahan.
CVE-ID
CVE-2015-5748: Maxime Villard dari m00nbsd
libpthread
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel
Deskripsi: Masalah kerusakan memori terjadi di kernel. Masalah ini telah diatasi melalui penanganan memori yang ditingkatkan.
CVE-ID
CVE-2015-5899: Lufeng Li dari Qihoo 360 Vulcan Team
PluginKit
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Aplikasi perusahaan yang berbahaya dapat menginstal ekstensi sebelum aplikasi tersebut dipercaya
Deskripsi: Masalah muncul dalam validasi ekstensi selama instalasi. Masalah ini telah diatasi melalui verifikasi app yang lebih baik.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.
removefile
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Memproses data berbahaya dapat menyebabkan penghentian aplikasi secara tidak terduga
Deskripsi: Kesalahan kelebihan terjadi dalam rutinitas divisi checkint. Masalah ini telah diatasi dengan rutin divisi yang lebih baik.
CVE-ID
CVE-2015-5840: peneliti anonim
SQLite
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Beberapa kerentanan di SQLite v3.8.5
Deskripsi: Ada beberapa kerentanan di SQLite v3.8.5. Masalah ini telah diatasi dengan memperbarui SQLite ke versi 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition
Dampak: Mengunjungi situs web perusak yang berbahaya dapat menyebabkan eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi di Tidy. Masalah ini telah diatasi melalui penanganan memori yang lebih baik.
CVE-ID
CVE-2015-5522 : Fernando Muñoz dari NULLGroup.com
CVE-2015-5523 : Fernando Muñoz dari NULLGroup.com
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.