watchOS 2.2.1 のセキュリティコンテンツについて

watchOS 2.2.1 のセキュリティコンテンツについて説明します。

Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。

Apple Product Security PGP キーについては、こちらの記事を参照してください。

CVE ID を使って脆弱性を調べることもできます。

その他のセキュリティアップデートについては、こちらの記事を参照してください。

watchOS 2.2.1

  • CommonCrypto

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:悪意のあるアプリケーションにより、重要なユーザ情報が漏洩する可能性がある。

    説明:CCCrypt における戻り値の処理に脆弱性が存在します。この問題は、鍵長の管理を強化することで解決されました。

    CVE-ID

    CVE-2016-1802:Klaus Rodewig 氏

  • CoreCapture

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:検証を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1803:Google Project Zero の Ian Beer 氏、Trend Micro の Zero Day Initiative に協力する daybreaker 氏

  • ディスクイメージ

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:ローカルの攻撃者にカーネルメモリを読み取られる可能性がある。

    説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1807:Google Project Zero の Ian Beer 氏

  • ディスクイメージ

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:ディスクイメージの解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。

    CVE-ID

    CVE-2016-1808:Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)

  • ImageIO

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:悪意を持って作成されたイメージを処理すると、サービス運用妨害を受ける可能性がある。

    説明:検証を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1811:Lander Brandt 氏 (@landaire)

  • IOAcceleratorFamily

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1817:Trend Micro の Zero Day Initiative に協力する Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)

    CVE-2016-1818:Trend Micro の Juwei Lin 氏、Trend Micro の Zero Day Initiative に協力する sweetchip@GRAYHASH 氏

    2016 年 12 月 13 日に更新

  • IOAcceleratorFamily

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1819:Google Project Zero の Ian Beer 氏

  • IOAcceleratorFamily

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:検証を強化し、ヌルポインタ逆参照に対処しました。

    CVE-ID

    CVE-2016-1813:Google Project Zero の Ian Beer 氏

  • IOHIDFamily

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1823:Google Project Zero の Ian Beer 氏

    CVE-2016-1824:Tencent の KeenLab (@keen_lab) の Marco Grassi 氏 (@marcograss)

  • カーネル

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1827:Brandon Azad 氏

    CVE-2016-1828:Brandon Azad 氏

    CVE-2016-1829:CESG

    CVE-2016-1830:Brandon Azad 氏

  • libc

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:ローカルの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。

    説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1832:Karl Williamson 氏

  • libxml2

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:悪意を持って作成された XML を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1833:Mateusz Jurczyk 氏

    CVE-2016-1834:Apple

    CVE-2016-1836:南洋理工大学の Wei Lei 氏および Liu Yang 氏

    CVE-2016-1837:南洋理工大学の Wei Lei 氏および Liu Yang 氏

    CVE-2016-1838:Mateusz Jurczyk 氏

    CVE-2016-1839:Mateusz Jurczyk 氏

    CVE-2016-1840:Kostya Serebryany 氏

  • libxslt

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1841:Sebastian Apelt 氏

  • MapKit

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。

    説明:共有リンクが HTTPS ではなく HTTP で送信されていました。この問題は、共有リンクに対して HTTPS を有効にすることで解決されました。

    CVE-ID

    CVE-2016-1842:Richard Shupak 氏 (https://www.linkedin.com/in/rshupak)

  • OpenGL

    対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes

    影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。

    説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。

    CVE-ID

    CVE-2016-1847:Palo Alto Networks の Tongbo Luo 氏および Bo Qu 氏

Apple 製以外の製品に関する情報や、Apple が管理または検証していない個々の Web サイトは、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選定、性能、使用については一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性については一切明言いたしません。インターネットの使用にはリスクがつきものです。詳しくは各社にお問い合わせください。その他の会社名や製品名は、それぞれの所有者の商標である場合があります。

公開日: