watchOS 2.2.1 のセキュリティコンテンツについて
watchOS 2.2.1 のセキュリティコンテンツについて説明します。
Apple では、ユーザ保護の観点から、完全な調査が終了して必要なパッチやリリースが利用可能になるまではセキュリティ上の問題を公開、説明、または是認いたしません。Apple 製品のセキュリティについては、「Apple 製品のセキュリティ」Web サイトを参照してください。
Apple Product Security PGP キーについては、こちらの記事を参照してください。
CVE ID を使って脆弱性を調べることもできます。
その他のセキュリティアップデートについては、こちらの記事を参照してください。
watchOS 2.2.1
CommonCrypto
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意のあるアプリケーションにより、重要なユーザ情報が漏洩する可能性がある。
説明:CCCrypt における戻り値の処理に脆弱性が存在します。この問題は、鍵長の管理を強化することで解決されました。
CVE-ID
CVE-2016-1802:Klaus Rodewig 氏
CoreCapture
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-ID
CVE-2016-1803:Google Project Zero の Ian Beer 氏、Trend Micro の Zero Day Initiative に協力する daybreaker 氏
ディスクイメージ
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:ローカルの攻撃者にカーネルメモリを読み取られる可能性がある。
説明:ロック処理を強化することで、競合状態の脆弱性に対処しました。
CVE-ID
CVE-2016-1807:Google Project Zero の Ian Beer 氏
ディスクイメージ
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:ディスクイメージの解析に、メモリ破損の脆弱性が存在します。この問題は、メモリ処理を改良することによって解決されています。
CVE-ID
CVE-2016-1808:Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)
ImageIO
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成されたイメージを処理すると、サービス運用妨害を受ける可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-ID
CVE-2016-1811:Lander Brandt 氏 (@landaire)
IOAcceleratorFamily
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1817:Trend Micro の Zero Day Initiative に協力する Trend Micro の Moony Li 氏 (@Flyic) および Jack Tang 氏 (@jacktang310)
CVE-2016-1818:Trend Micro の Juwei Lin 氏、Trend Micro の Zero Day Initiative に協力する sweetchip@GRAYHASH 氏
2016 年 12 月 13 日に更新
IOAcceleratorFamily
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:ロック処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1819:Google Project Zero の Ian Beer 氏
IOAcceleratorFamily
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:検証を強化し、ヌルポインタ逆参照に対処しました。
CVE-ID
CVE-2016-1813:Google Project Zero の Ian Beer 氏
IOHIDFamily
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1823:Google Project Zero の Ian Beer 氏
CVE-2016-1824:Tencent の KeenLab (@keen_lab) の Marco Grassi 氏 (@marcograss)
カーネル
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:アプリケーションにカーネル権限を取得され、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1827:Brandon Azad 氏
CVE-2016-1828:Brandon Azad 氏
CVE-2016-1829:CESG
CVE-2016-1830:Brandon Azad 氏
libc
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:ローカルの攻撃者により、アプリケーションを突然終了されたり、任意のコードを実行されたりする可能性がある。
説明:入力検証を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1832:Karl Williamson 氏
libxml2
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成された XML を処理すると、アプリケーションが予期せず終了したり、任意のコードが実行される可能性がある。
説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1833:Mateusz Jurczyk 氏
CVE-2016-1834:Apple
CVE-2016-1836:南洋理工大学の Wei Lei 氏および Liu Yang 氏
CVE-2016-1837:南洋理工大学の Wei Lei 氏および Liu Yang 氏
CVE-2016-1838:Mateusz Jurczyk 氏
CVE-2016-1839:Mateusz Jurczyk 氏
CVE-2016-1840:Kostya Serebryany 氏
libxslt
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、メモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1841:Sebastian Apelt 氏
MapKit
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:ネットワーク上の特権的な地位を利用した攻撃者が、重要なユーザ情報を漏洩させる可能性がある。
説明:共有リンクが HTTPS ではなく HTTP で送信されていました。この問題は、共有リンクに対して HTTPS を有効にすることで解決されました。
CVE-ID
CVE-2016-1842:Richard Shupak 氏 (https://www.linkedin.com/in/rshupak)
OpenGL
対象となるデバイス:Apple Watch Sport、Apple Watch、Apple Watch Edition、および Apple Watch Hermes
影響:悪意を持って作成された Web コンテンツを処理すると、任意のコードを実行される可能性がある。
説明:メモリ処理を強化し、複数のメモリ破損の脆弱性に対処しました。
CVE-ID
CVE-2016-1847:Palo Alto Networks の Tongbo Luo 氏および Bo Qu 氏
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。