Om sikkerhetsinnholdet i watchOS 2

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 2.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.

Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.

Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.

Mer informasjon finnes her: Sikkerhetsoppdateringer fra Apple.

watchOS 2

  • Apple Pay

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Med visse kort kan det være mulig at en terminal henter begrenset nylig transaksjonsinformasjon ved betaling

    Beskrivelse: Transaksjonsloggfunksjonaliteten ble aktivert i visse konfigurasjoner. Problemet ble løst ved å fjerne transaksjonsloggfunksjonaliteten.

    CVE-ID

    CVE-2015-5916

  • Audio

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Avspilling av en skadelig lydfil kan føre til at en app avsluttes uventet

    Beskrivelse: Det var et problem med minnekorrupsjon i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea

  • Certificate Trust Policy

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Oppdatering av sertifikattillitsregler

    Beskrivelse: Sertifikattillitsreglene ble oppdatert. En fullstendig liste over sertifikater finner du her: https://support.apple.com/HT204873.

  • CFNetwork

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper med en privilegert nettverksposisjon kan avskjære SSL/TLS-tilkoblinger

    Beskrivelse: Det var et sertifikatvalideringsproblem i NSURL ved endring av sertifikater. Problemet ble løst gjennom forbedret validering av sertifikater.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood fra The Omni Group

  • CFNetwork

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Ved tilkobling til en skadelig nettproxy kan skadelige informasjonskapsler for et nettsted lastes ned

    Beskrivelse: Det var et problem i håndteringen av proxy-tilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua Universitet

  • CFNetwork

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet

    Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av toppnivådomener. Problemet ble løst gjennom forbedret begrensning av mulighetene til å opprette informasjonskapsler.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua Universitet

  • CFNetwork

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En person med fysisk tilgang til en iOS-enhet kan lese bufferdata fra Apple-apper

    Beskrivelse: Bufferdata ble kryptert med en nøkkel som kun er beskyttet av maskinvare-UID. Problemet ble løst ved å kryptere bufferdata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz fra NESO Security Labs

  • CoreCrypto

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper kan finne en privat nøkkel

    Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper finne den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.

  • CoreText

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av en skadelig fontfil kan føre til kjøring av vilkårlig kode

    Beskrivelse: Det var et problem med minnekorrupsjon i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av en skadelig tekstfil kan føre til kjøring av vilkårlig kode

    Beskrivelse: Det var problemer med minnekorrupsjon i behandlingen av tekstfiler. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)

  • Dev Tools

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En skadelig app kan kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et minnekorrupsjonsproblem i dyld. Dette ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5876: beist fra grayhash

  • Disk Images

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et minnekorrupsjonsproblem i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En app kan omgå kodesignering

    Beskrivelse: Det var et problem med validering av kodesignaturen til kjørbare filer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var flere problemer med minnekorrupsjon i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Flere sårbarheter i ICU

    Beskrivelse: Det var flere sårbarheter i ICU-versjoner før 53.1.0. Disse problemene ble løst ved å oppdatere ICU til versjon 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand fra Google Project Zero

  • IOAcceleratorFamily

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En skadelig app kan bestemme kjerneminneoppsett

    Beskrivelse: Det var et problem som førte til avsløring av kjerneminneinnhold. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med minnekorrupsjon i IOAcceleratorFamily. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En skadelig app kan kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med minnekorrupsjon i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobilFrameBuffer

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan kjøre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med minnekorrupsjon i IOMobileFrameBuffer. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal angriper kan lese kjerneminne

    Beskrivelse: Det var et problem med minneinitialisering i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel fra IOActive

  • Kernel

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et minnekorrupsjonsproblem i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard fra m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal angriper kan kontrollere verdien av stakkinformasjonskapsler

    Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler i brukerrom. Problemet ble løst gjennom forbedret generering av stakkinformasjonskapsler.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal prosess kan endre andre prosesser uten rettighetskontroller

    Beskrivelse: Det oppstod et problem der rotprosesser som brukte processor_set_tasks-API, hadde tillatelse til å hente oppgaveportene til andre prosesser. Problemet ble løst gjennom forbedrede berettigelseskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, på grunnlag av opprinnelige undersøkelser av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting

    Beskrivelse: Det fantes et utilstrekkelig valideringsproblem ved håndtering av IPv6-ruterannonser som gjorde det mulig for å en angriper å angi en utilsiktet verdi for hoppgrensen. Problemet ble løst ved å innføre en minste hoppgrense.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan bestemme kjerneminneoppsett

    Beskrivelse: Det var et problem i XNU som førte til avsløring av kjerneminne. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.

    CVE-ID

    CVE-2015-5842: beist fra grayhash

  • Kernel

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan forårsake systemnekt

    Beskrivelse: Det var et problem med HFS-stasjonsmontering. Problemet ble løst gjennom ekstra valideringskontroller.

    CVE-ID

    CVE-2015-5748: Maxime Villard fra m00nbsd

  • libpthread

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan kjøre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med minnekorrupsjon i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team

  • PluginKit

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En skadelig bedriftsapp kan installere utvidelser før appen har blitt klarert

    Beskrivelse: Det var et problem i valideringen av utvidelser under installasjonen. Problemet ble løst gjennom forbedret appverifisering.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.

  • removefile

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av skadelige data kan føre til at en app avsluttes uventet

    Beskrivelse: Det var en overflytsfeil i divisjonsrutinene i checkint. Problemet ble løst gjennom forbedrede divisjonsrutiner.

    CVE-ID

    CVE-2015-5840: en anonym forsker

  • SQLite

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Flere sårbarheter i SQLite 3.8.5

    Beskrivelse: Det var flere sårbarheter i SQLite 3.8.5. Disse problemene ble løst ved å oppdatere SQLite til versjon 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Besøk på et skadelig nettsted kan føre til kjøring av vilkårlig kode.

    Beskrivelse: Det var et minnekorrupsjonsproblem i Tidy. Problemet ble løst gjennom forbedret minnehåndtering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz fra NULLGroup.com

    CVE-2015-5523: Fernando Muñoz fra NULLGroup.com

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: