watchOS 2.0.1 のセキュリティコンテンツについて
watchOS 2.0.1 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
watchOS 2.0.1
Apple Pay
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:一部のカードで、決済時に最近の一部のトランザクション情報を端末に取得される可能性がある。
説明:トランザクションのログ機能が、特定の構成で有効になっていました。この問題は、トランザクションのログ機能を削除することで解決されました。このアップデートは、watchOS 2 を搭載した Apple Watch についてもこの問題に対処します。
CVE-ID
CVE-2015-5916
Bom
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成されたアーカイブを解凍すると、任意のコードが実行される可能性がある。
説明:CPIO アーカイブの処理に、ファイルトラバーサルの脆弱性が存在します。この問題は、メタデータの検証を強化することで解決されました。
CVE-ID
CVE-2015-7006:Azimuth Security の Mark Dowd 氏
configd
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意のあるアプリケーションに権限を昇格される可能性がある。
説明:DNS クライアントライブラリに、ヒープベースのバッファオーバーフローの脆弱性が存在します。ローカル configd サービスからの応答を偽装できるローカルユーザによって、DNS クライアントで任意のコードを実行される可能性がありました。
CVE-ID
CVE-2015-7015:PanguTeam
CoreGraphics
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成された画像を処理すると、任意のコードが実行される可能性がある。
説明:CoreGraphics にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-5925:Apple
CVE-2015-5926:Apple
FontParser
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成されたフォントを使った書類を表示すると、任意のコードが実行される可能性がある。
説明:フォントファイルの処理に、メモリ破損の脆弱性が複数存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2015-5927:Apple
CVE-2015-5942
Grand Central Dispatch
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成されたパッケージを処理すると、任意のコードが実行される可能性がある。
説明:ディスパッチコールの処理に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-6989:Apple
ImageIO
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成された画像ファイルを表示すると、任意のコードが実行される可能性がある。
説明:画像メタデータの解析に、メモリ破損の脆弱性が複数存在します。これらの問題は、メタデータの検証を強化することで解決されました。
CVE-ID
CVE-2015-5935:Apple
CVE-2015-5936:Apple
CVE-2015-5937:Apple
CVE-2015-5939:Apple
IOAcceleratorFamily
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意のあるアプリケーションにシステム権限を取得され、任意のコードを実行される可能性がある。
説明:IOAcceleratorFamily にメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-6996:Google Project Zero の Ian Beer 氏
IOHIDFamily
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意のあるアプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:カーネルにメモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2015-6974:Luca Todesco 氏 (@qwertyoruiop)
mDNSResponder
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:リモートの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:DNS データの解析処理にメモリ破損の脆弱性が複数存在します。この問題は、配列境界チェック機能を改善することで解決されました。
CVE-ID
CVE-2015-7987:Alexandre Helie 氏
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。