Over beveiligingsinhoud van watchOS 2

In dit document wordt de beveiligingsinhoud van watchOS 2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.

Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

watchOS 2

  • Apple Pay

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: sommige kaarten staan mogelijk toe dat een betaalterminal beperkte informatie van recente transacties achterhaalt bij een betaling

    Beschrijving: in bepaalde configuraties zijn de logbestanden van transacties ingeschakeld. Dit probleem is verholpen door de logbestanden van transacties te verwijderen.

    CVE-ID

    CVE-2015-5916

  • Audio

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • Certificaatvertrouwensbeleid

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: update voor het certificaatvertrouwensbeleid

    Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u op https://support.apple.com/kb/HT204873?viewlocale=nl_NL.

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen

    Beschrijving: er was een probleem met de validatie van het certificaat in NSURL wanneer een certificaat werd gewijzigd. Dit probleem is verholpen door een verbeterde validatie van het certificaat.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood van The Omni Group

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: verbinden met een kwaadaardige webproxy kan kwaadaardige cookies voor een website instellen

    Beschrijving: er was een probleem bij de verwerking van reacties op verbindingen met een proxy. Dit probleem is verholpen door de Set-Cookie headers te verwijderen tijdens het parseren van de reacties op verbindingen.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden

    Beschrijving: er was een probleem met cookies tussen verschillende domeinen bij de verwerking van domeinen van het hoogste niveau. Het probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een persoon met fysieke toegang tot een iOS-apparaat kan de cachegegevens van Apple-apps lezen

    Beschrijving: cachegegevens waren gecodeerd met een sleutel die alleen door de hardware-UID was beschermd. Dit probleem is verholpen door de cachegegevens te coderen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz van NESO Security Labs

  • CoreCrypto

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller kan een private sleutel bepalen

    Beschrijving: door talrijke pogingen tot ondertekenen of decoderen te observeren, kon een aanvaller de private RSA-sleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.

  • CoreText

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.

    CVE-ID

    CVE-2015-5829: M1x7e1 van Safeye Team (www.safeye.org)

  • Dev Tools

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5876: beist van grayhash

  • Schijfkopieën

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een app kan de codeondertekening omzeilen

    Beschrijving: er was een probleem met de validatie van codeondertekening bij uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de kernel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: meerdere kwetsbaarheden in ICU

    Beschrijving: er waren meerdere kwetsbaarheden in versies van ICU lager dan 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig programma kan de weergave van het kernelgeheugen bepalen

    Beschrijving: er was een probleem dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5834: Cererdlong van Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOMobileFrameBuffer. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale aanvaller kan het kernelgeheugen lezen

    Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel van IOActive

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard van m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale aanvaller kan de waarde van stack-cookies beheren

    Beschrijving: er waren meerdere kwetsbaarheden bij de aanmaak van stack cookies in gebruikersruimtes. Dit is verholpen door een verbeterde aanmaak van stack cookies.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokaal proces kan andere processen wijzigen zonder controle van de bevoegdheden

    Beschrijving: er was een probleem waarbij rootprocessen die de API processor_set_tasks gebruikten de taakpoorten van andere processen mochten opvragen. Dit probleem is verholpen door een extra controle van de bevoegdheden.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça in samenwerking met het oorspronkelijke onderzoek van Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen

    Beschrijving: er was een probleem met onvoldoende validatie bij de verwerking van IPv6-routeraankondigingen waardoor een aanvaller de hoplimiet kon instellen op een willekeurige waarde. Dit probleem is verholpen door een minimale hoplimiet op te leggen.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan de weergave van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in XNU dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde initialisatie van kernelgeheugenstructuren.

    CVE-ID

    CVE-2015-5842: beist van grayhash

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem

    Beschrijving: er was een probleem met de activering van de HFS-schijf. Dit is verholpen door extra validatiecontroles.

    CVE-ID

    CVE-2015-5748: Maxime Villard van m00nbsd

  • libpthread

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team

  • PluginKit

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardige bedrijfsapp kan extensies installeren alvorens de app is vertrouwd

    Beschrijving: er was een probleem met de validatie van extensies tijdens installaties. Dit is verholpen door een verbeterde controle van apps.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.

  • removefile

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van de app

    Beschrijving: er was een overflow-fout in de delingsroutines van checkint. Dit probleem is verholpen door verbeterde delingsroutines.

    CVE-ID

    CVE-2015-5840: een anonieme onderzoeker

  • SQLite

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: meerdere kwetsbaarheden in SQLite v3.8.5

    Beschrijving: er waren meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.

    CVE-ID

    CVE-2015-5895

  • tidy

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging in Tidy. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz van NULLGroup.com

    CVE-2015-5523: Fernando Muñoz van NULLGroup.com

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: