Apple은 고객 보호를 위해 완벽한 조사를 마치고 필요한 패치 또는 출시를 제공할 때까지 보안 문제에 대해 공개하거나, 이야기하거나, 확인하지 않습니다. Apple 제품 보안에 대한 자세한 내용을 알아보려면 Apple 제품 보안 웹 사이트를 참조하십시오.
Apple 제품 보안 PGP 키에 대한 자세한 내용은 Apple 제품 보안 PGP 키 사용 방법을 참조하십시오.
가능한 경우 CVE ID로 취약성에 대한 추가 정보를 확인할 수 있습니다.
다른 보안 업데이트에 대해 알아보려면 Apple 보안 업데이트를 참조하십시오.
Watch OS 1.0.1
인증 신뢰 정책
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 인증 신뢰 정책 업데이트
설명: 인증 신뢰 정책이 업데이트되었습니다. 인증서의 전체 목록은 https://support.apple.com/kb/HT204873?viewlocale=ko_KR에서 확인할 수 있습니다.
FontParser
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악의적으로 제작된 서체 파일을 처리하면 임의 코드가 실행될 수 있음
설명: 서체 파일 처리 시 메모리 손상 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Foundation
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: NSXMLParser를 사용하는 응용 프로그램을 잘못 사용하여 정보가 공개될 수 있음
설명: NSXMLParser에서 XML을 처리할 때 XML External Entity 문제가 발생합니다. 이 문제는 원본 간에 외부 엔터티를 로드하지 않도록 하여 해결되었습니다.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
IOHIDFamily
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악성 응용 프로그램에서 커널 메모리 레이아웃을 확인할 수 있음
설명: IOHIDFamily에 커널 메모리 콘텐츠가 공개되는 문제가 발생합니다. 이 문제는 향상된 범위 검사를 통해 해결되었습니다.
CVE-ID
CVE-2015-1096: IOActive의 Ilja van Sprundel
IOAcceleratorFamily
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악성 응용 프로그램에서 커널 메모리 레이아웃을 확인할 수 있음
설명: IOAcceleratorFamily에서 커널 메모리 콘텐츠가 공개되는 문제가 발생합니다. 이 문제는 필요하지 않은 코드를 제거하여 해결되었습니다.
CVE-ID
CVE-2015-1094: Alibaba Mobile 보안 팀의 Cererdlong
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악성 응용 프로그램이 시스템 서비스 거부 공격을 일으킬 수 있음
설명: 커널의 setreuid 시스템 호출에서 경합 조건이 발생합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1099: Google Inc.의 Mark Mentovai
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 권한 네트워크 위치에 있는 공격자가 사용자 트래픽을 임의 호스트로 리디렉션할 수 있음
설명: ICMP 재지정은 기본적으로 활성화되어 있습니다. 이 문제는 ICMP 재지정을 비활성화하여 해결되었습니다.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 원격 공격자가 서비스 거부 공격을 일으킬 수 있음
설명: TCP 대역 외 데이터 처리에서 상태 불일치 문제가 발생합니다. 이 문제는 향상된 상태 관리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1105: Sandstorm.io의 Kenton Varda
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악성 응용 프로그램이 감소한 권한으로 실행하기 위한 손상된 서비스를 사용하여 권한을 에스컬레이션할 수 있음
설명: setreuid 및 setregid 시스템 호출이 권한을 영구적으로 중단하는 데 실패합니다. 이 문제는 올바른 권한 중단을 통해 해결되었습니다.
CVE-ID
CVE-2015-1117: Google Inc.의 Mark Mentovai
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 원격 공격자가 네트워크 필터를 우회할 수 있음
설명: 시스템이 원격 네트워크 인터페이스의 IPv6 패킷 일부를 로컬 패킷으로 처리합니다. 이 문제는 이러한 패킷의 거부를 통해 해결되었습니다.
CVE-ID
CVE-2015-1104: Google 보안 팀의 Stephen Roettger
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 권한 네트워크 위치에 있는 공격자가 서비스 거부 공격을 일으킬 수 있음
설명: TCP 헤더 처리 시 상태 불일치가 발생합니다. 이 문제는 향상된 상태 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1102: Kaspersky Lab의 Andrey Khudyakov와 Maxim Zhuravlev
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악성 응용 프로그램이 예기치 않은 시스템 종료를 일으키거나 커널 메모리를 읽을 수 있음
설명: 커널에서 경계 외부 메모리 접근 문제가 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1100: m00nbsd의 Maxime Villard
커널
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 악성 응용 프로그램이 시스템 권한을 사용하여 임의 코드를 실행할 수 있음
설명: 커널에서 메모리 손상이 발생합니다. 이 문제는 향상된 메모리 처리를 통해 해결되었습니다.
CVE-ID
CVE-2015-1101: HP의 Zero Day Initiative와 협력하는 lokihardt@ASRT
보안 전송
대상: Apple Watch Sport, Apple Watch 및 Apple Watch Edition
영향: 권한 있는 네트워크 위치에 있는 공격자가 SSL/TLS 연결을 가로챌 수 있음
설명: 보안 전송은 강도가 양호한 일련의 RSA 암호화 제품군을 사용하여 연결할 때 일반적으로 내보내기 강도 RSA 암호화 제품군에서만 사용되는 사용 후 삭제되는 짧은 RSA 키를 허용합니다. 이 문제는 FREAK이라고도 하며, 내보내기 강도 RSA 암호화 제품군을 지원하는 서버에 연결할 때만 영향을 줍니다. 사용 후 삭제되는 RSA 키에 대한 지원을 제거하여 해결되었습니다.
CVE-ID
CVE-2015-1067: Inria(파리) Prosecco의 Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti 및 Jean Karim Zinzindohoue