Over de beveiligingsinhoud van watchOS 2
In dit document wordt de beveiligingsinhoud van watchOS 2 beschreven.
Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.
Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
watchOS 2
Apple Pay
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: bij sommige kaarten kan een terminal beperkte recente transactiegegevens ophalen bij het uitvoeren van een betaling
Beschrijving: de transactielogboekfunctionaliteit was in bepaalde configuraties ingeschakeld. Dit probleem is verholpen door de logbestanden van transacties te verwijderen.
CVE-ID
CVE-2015-5916
Audio
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot een onverwachte beëindiging van het programma
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
Certificate Trust Policy
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: update van het certificaatvertrouwensbeleid
Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De complete lijst van certificaten is te bekijken op https://support.apple.com/HT204873.
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller met een bevoorrechte netwerkpositie kan SSL/TLS-verbindingen onderscheppen
Beschrijving: er was een certificaatvalidatieprobleem in NSURL bij het wijzigen van een certificaat. Dit probleem is verholpen door verbeterde validatie van certificaten.
CVE-ID
CVE-2015-5824: Timothy J. Wood van The Omni Group
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: verbinding maken met een kwaadaardige webproxy kan kwaadaardige cookies instellen voor een website
Beschrijving: er was een probleem bij het afhandelen van proxy-verbindingsreacties. Dit probleem is verholpen door de Set-Cookie-header te verwijderen tijdens het parseren van de reacties op verbindingen.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller in een bevoorrechte netwerkpositie kan de activiteit van een gebruiker volgen
Beschrijving: er was een probleem met domeinoverschrijdende cookies bij de verwerking van domeinen op het hoogste niveau. Dit probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een persoon met fysieke toegang tot een iOS-apparaat kan cachegegevens lezen van Apple apps
Beschrijving: cachegegevens werden versleuteld met een sleutel die alleen wordt beveiligd door de hardware-UID. Dit probleem is verholpen door de cachegegevens te versleutelen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.
CVE-ID
CVE-2015-5898: Andreas Kurtz van NESO Security Labs
CoreCrypto
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller kan mogelijk een privésleutel bepalen
Beschrijving: door veel ondertekenings- of decoderingspogingen te observeren, kon een aanvaller mogelijk de RSA-privésleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.
CoreText
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan het uitvoeren van willekeurige code tot gevolg hebben
Beschrijving: er was een probleem met geheugenbeschadiging bij het verwerken van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan het uitvoeren van willekeurige code tot gevolg hebben
Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5829: M1x7e1 van Safeye Team (www.safeye.org)
Dev Tools
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5876: beist van grayhash
Disk Images
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een programma kan codeondertekening omzeilen
Beschrijving: er was een probleem met de validatie van de codehandtekening van uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de kernel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: meerdere kwetsbaarheden in ICU
Beschrijving: er was sprake van meerdere kwetsbaarheden in ICU-versies vóór 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand van Google Project Zero
IOAcceleratorFamily
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig programma kan mogelijk de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem dat leidde tot het vrijgeven van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5834: Cererdlong van Alibaba Mobile Security Team
IOAcceleratorFamily
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOMobileFrameBuffer. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale aanvaller kan mogelijk het kernelgeheugen lezen
Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5863: Ilja van Sprundel van IOActive
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard van m00nbsd
CVE-2015-5903: CESG
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale aanvaller kan de waarde van stack-cookies beheren
Beschrijving: er was sprake van meerdere kwetsbaarheden punten bij het genereren van stack-cookies voor de gebruikersruimte. Dit is verholpen door verbeterde aanmaak van stack cookies.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokaal proces kan andere processen wijzigen zonder rechtencontroles
Beschrijving: er was een probleem waarbij rootprocessen met behulp van de API processor_set_tasks de taakpoorten van andere processen mochten ophalen. Dit probleem is verholpen door extra controle van de bevoegdheden.
CVE-ID
CVE-2015-5882: Pedro Vilaça, met behulp van eerder onderzoek door Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen
Beschrijving: er was een probleem met ontoereikende validatie bij het afhandelen van IPv6-routeradvertenties waardoor een aanvaller de hoplimiet op een willekeurige waarde kon instellen. Dit probleem is verholpen door een minimale hoplimiet op te leggen.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk de lay-out van het kernelgeheugen bepalen
Beschrijving: er was een probleem in XNU dat leidde tot het vrijgeven van kernelgeheugen. Dit probleem is verholpen door verbeterde initialisatie van kernelgeheugenstructuren.
CVE-ID
CVE-2015-5842: beist van grayhash
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk een denial-of-service van het systeem veroorzaken
Beschrijving: er was een probleem met het koppelen van HFS-schijven. Dit is verholpen door extra validatiecontroles.
CVE-ID
CVE-2015-5748: Maxime Villard van m00nbsd
libpthread
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team
PluginKit
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig bedrijfseigen programma kan extensies installeren voordat het programma is vertrouwd
Beschrijving: er was een probleem bij de validatie van extensies tijdens de installatie. Dit is verholpen door verbeterde controle van apps.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
removefile
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het verwerken van kwaadaardige gegevens kan leiden tot de onverwachte beëindiging van programma's
Beschrijving: er was sprake van een overloopfout in de checkint-routines voor deling. Dit probleem is verholpen door verbeterde delingsroutines.
CVE-ID
CVE-2015-5840: een anonieme onderzoeker
SQLite
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: meerdere kwetsbaarheden in SQLite v3.8.5
Beschrijving: er was sprake van meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de uitvoering van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in Tidy. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5522: Fernando Muñoz van NULLGroup.com
CVE-2015-5523: Fernando Muñoz van NULLGroup.com
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.