Mengenai konten keamanan watchOS 2

Dokumen ini menjelaskan konten keamanan watchOS 2.

Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.

Untuk informasi mengenai Kunci PGP Keamanan Produk Apple, baca Cara menggunakan Kunci PGP Keamanan Produk Apple.

Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.

Untuk mempelajari mengenai Pembaruan Keamanan lainnya, baca Pembaruan Keamanan Apple.

watchOS 2

  • Apple Pay

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Beberapa kartu memungkinkan terminal mengambil informasi transaksi terbatas yang terbaru saat melakukan pembayaran

    Deskripsi: Fungsionalitas log transaksi diaktifkan dalam konfigurasi tertentu. Masalah ini telah diatasi dengan menghapus fungsionalitas log transaksi.

    CVE-ID

    CVE-2015-5916

  • Audio

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memutar file audio perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba

    Deskripsi: Masalah kerusakan memori yang terjadi saat menangani file audio. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon dari Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Universitas Yonsei, Seoul, Korea

  • Kebijakan Kepercayaan Sertifikat

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pembaruan kebijakan kepercayaan sertifikat

    Penjelasan: Kebijakan kepercayaan sertifikat sudah diperbarui. Daftar lengkap sertifikat dapat dilihat di https://support.apple.com/id-id/HT204873.

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu koneksi SSL/TLS

    Deskripsi: Masalah validasi sertifikat yang terjadi di NSURL saat sertifikat diubah. Masalah ini telah diatasi melalui peningkatan validasi sertifikat.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood dari The Omni Group

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Menyambung ke proksi web perusak yang berbahaya dapat membuat cookie perusak yang berbahaya untuk situs web

    Deskripsi: Masalah yang terjadi pada penanganan respons sambungan proksi. Masalah ini telah diatasi dengan menghapus judul atur-cookie saat mengurai respons sambungan.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng dari Blue Lotus Team, Universitas Tsinghua

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang dengan hak akses istimewa dalam jaringan yang dapat melacak aktivitas pengguna

    Deskripsi: Masalah cookie lintas domain yang terjadi pada penanganan domain tingkat atas. Masalah ini telah diatasi melalui peningkatan pembatasan pembuatan cookie.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng dari Blue Lotus Team, Universitas Tsinghua

  • CFNetwork

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Seseorang dengan akses fisik ke perangkat iOS dapat membaca data cache dari app Apple

    Deskripsi: Data cache dienkripsi dengan kunci yang hanya dilindungi oleh UID perangkat keras. Masalah ini telah diatasi dengan mengenkripsi data cache menggunakan kunci yang dilindungi oleh UID perangkat keras dan kode sandi pengguna.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz dari NESO Security Labs

  • CoreCrypto

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang mungkin dapat menentukan kunci pribadi

    Deskripsi: Dengan memperhatikan banyak percobaan masuk atau dekripsi, penyerang mungkin dapat menentukan kunci pribadi RSA. Masalah ini telah diatasi menggunakan peningkatan algoritme enkripsi.

  • CoreText

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memproses file fon perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang terjadi saat memproses file fon. Masalah ini telah diatasi melalui peningkatan validasi input.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memproses file teks perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang terjadi saat memproses file teks. Masalah tersebut telah diatasi melalui peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2015-5829: M1x7e1 dari Safeye Team (www.safeye.org)

  • Dev Tools

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori yang terjadi pada dyld. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5876: beist dari grayhash

  • Gambar Disk

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori yang terjadi pada DiskImages. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi mungkin dapat memintas kode masuk

    Deskripsi: Masalah yang terjadi saat memvalidasi tanda tangan kode yang dapat dieksekusi. Masalah ini telah diatasi melalui peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Beberapa masalah kerusakan memori yang terjadi di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Beberapa kerentanan di ICU

    Deskripsi: Beberapa kerentanan yang terjadi pada versi ICU sebelum 53.1.0. Masalah ini telah diatasi dengan memperbarui ICU ke versi 55.1.

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi berbahaya dapat menentukan tata letak memori kernel

    Deskripsi: Masalah terjadi yang mengakibatkan terbukanya konten memori kernel. Masalah ini telah diatasi melalui peningkatan pemeriksaan batas.

    CVE-ID

    CVE-2015-5834: Cererdlong dari Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori yang terjadi pada IOAcceleratorFamily. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Aplikasi perusak yang berbahaya dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Deskripsi: Masalah kerusakan memori yang terjadi di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5844 : Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa sistem

    Description: Masalah kerusakan memori yang terjadi pada IOMobileFrameBuffer. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang lokal mungkin dapat membaca memori kernel

    Deskripsi: Masalah inisialisasi memori yang terjadi di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel dari IOActive

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori yang terjadi di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5868: Cererdlong dari Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard dari m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang lokal dapat mengontrol nilai tumpukan cookie

    Deskripsi: Beberapa kelemahan yang terdapat pada pembuatan cookie tumpukan ruang pengguna. Masalah ini telah diatasi melalui peningkatan pembuatan cookie tumpukan.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Proses lokal dapat memodifikasi proses lain tanpa pemeriksaan hak akses

    Deskripsi: Masalah yang terjadi di mana proses root yang menggunakan processor_set_tasks API telah dimungkinkan untuk mengambil port tugas dari proses lain. Masalah ini telah diatasi dengan menambahkan pemeriksaan hak akses.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, bekerja dari penelitian awal oleh Ming-chieh Pan dan Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Penyerang di segmen LAN lokal dapat menonaktifkan perutean IPv6

    Deskripsi: Masalah validasi tidak memadai yang terjadi pada penanganan advertensi router IPv6 yang memungkinkan penyerang mengatur batas hop ke nilai arbitrer. Masalah ini telah diatasi dengan menerapkan batas hop minimum.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat menentukan tata letak memori kernel

    Deskripsi: Masalah pada XNU yang mengakibatkan terbukanya memori kernel. Hal ini telah diatasi melalui peningkatan inisialisasi struktur memori kernel.

    CVE-ID

    CVE-2015-5842: beist dari grayhash

  • Kernel

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat menyebabkan penolakan sistem layanan

    Deskripsi: Masalah yang terjadi pada pengaktifan drive HFS. Masalah ini telah diatasi dengan pemeriksaan validasi tambahan.

    CVE-ID

    CVE-2015-5748: Maxime Villard dari m00nbsd

  • libpthread

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Pengguna lokal mungkin dapat mengeksekusi kode arbitrer dengan hak istimewa kernel

    Deskripsi: Masalah kerusakan memori yang terjadi di kernel. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5899: Lufeng Li dari Qihoo 360 Vulcan Team

  • PluginKit

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Impact: Aplikasi perusahaan yang bersifat merusak dapat menginstal ekstensi sebelum aplikasi dipercaya

    Deskripsi: Masalah yang terjadi pada validasi ekstensi selama penginstalan. Masalah ini telah diatasi melalui peningkatan verifikasi app.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue, dan Tao (Lenx) Wei dari FireEye, Inc.

  • removefile

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Memproses data perusak yang berbahaya dapat mengakibatkan penghentian aplikasi secara tiba-tiba

    Deskripsi: Kesalahan overflow yang terjadi pada routine pembagian checkint. Masalah ini telah diatasi dengan peningkatan routine pembagian.

    CVE-ID

    CVE-2015-5840 : peneliti anonim

  • SQLite

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Beberapa kerentanan di SQLite v3.8.5

    Deskripsi: Beberapa kerentanan yang terjadi pada SQLite v3.8.5. Masalah tersebut telah diatasi dengan memperbarui SQLite ke versi 3.8.10.2.

    CVE-ID

    CVE-2015-5895

  • tidy

    Tersedia untuk: Apple Watch Sport, Apple Watch, dan Apple Watch Edition

    Dampak: Mengunjungi situs web perusak yang berbahaya dapat mengakibatkan eksekusi kode arbitrer

    Deskripsi: Masalah kerusakan memori yang terjadi pada Tidy. Masalah ini telah diatasi melalui peningkatan penanganan memori.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz dari NULLGroup.com

    CVE-2015-5523: Fernando Muñoz dari NULLGroup.com

Informasi tentang produk yang tidak diproduksi oleh Apple, atau situs web independen tidak dikendalikan atau diuji oleh Apple, disediakan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab terkait pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pendapat terkait akurasi atau keandalan situs web pihak ketiga. Risiko adalah hal tak terpisahkan dari penggunaan Internet. Hubungi vendor untuk informasi selengkapnya.

Tanggal Dipublikasikan: