Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Bezoek de website Apple productbeveiliging voor meer informatie over Apple-productbeveiliging.
Raadpleeg Hoe gebruikt u de Apple Product Security PGP-sleutel voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.
Waar mogelijk worden CVE-ID’s als referentie voor kwetsbaarheden gebruikt voor verdere informatie.
Raadpleeg Apple-beveiligingsupdates voor meer informatie over andere beveiligingsupdates.
watchOS 2
Apple Pay
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: sommige kaarten staan mogelijk toe dat een betaalterminal beperkte informatie van recente transacties achterhaalt bij een betaling
Beschrijving: in bepaalde configuraties zijn de logbestanden van transacties ingeschakeld. Dit probleem is verholpen door de logbestanden van transacties te verwijderen.
CVE-ID
CVE-2015-5916
Audio
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot het onverwacht beëindigen van een app
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea
Certificaatvertrouwensbeleid
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: update voor het certificaatvertrouwensbeleid
Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De volledige lijst met certificaten vindt u op https://support.apple.com/kb/HT204873?viewlocale=nl_NL.
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller met een geprivilegieerde netwerkpositie kan SSL/TLS-verbindingen onderscheppen
Beschrijving: er was een probleem met de validatie van het certificaat in NSURL wanneer een certificaat werd gewijzigd. Dit probleem is verholpen door een verbeterde validatie van het certificaat.
CVE-ID
CVE-2015-5824: Timothy J. Wood van The Omni Group
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: verbinden met een kwaadaardige webproxy kan kwaadaardige cookies voor een website instellen
Beschrijving: er was een probleem bij de verwerking van reacties op verbindingen met een proxy. Dit probleem is verholpen door de Set-Cookie headers te verwijderen tijdens het parseren van de reacties op verbindingen.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller in een geprivilegieerde netwerkpositie kan de activiteit van een gebruiker bijhouden
Beschrijving: er was een probleem met cookies tussen verschillende domeinen bij de verwerking van domeinen van het hoogste niveau. Het probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University
CFNetwork
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een persoon met fysieke toegang tot een iOS-apparaat kan de cachegegevens van Apple-apps lezen
Beschrijving: cachegegevens waren gecodeerd met een sleutel die alleen door de hardware-UID was beschermd. Dit probleem is verholpen door de cachegegevens te coderen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.
CVE-ID
CVE-2015-5898: Andreas Kurtz van NESO Security Labs
CoreCrypto
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller kan een private sleutel bepalen
Beschrijving: door talrijke pogingen tot ondertekenen of decoderen te observeren, kon een aanvaller de private RSA-sleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.
CoreText
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van verbeterde bounds checking.
CVE-ID
CVE-2015-5829: M1x7e1 van Safeye Team (www.safeye.org)
Dev Tools
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5876: beist van grayhash
Schijfkopieën
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een app kan de codeondertekening omzeilen
Beschrijving: er was een probleem met de validatie van codeondertekening bij uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de kernel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: meerdere kwetsbaarheden in ICU
Beschrijving: er waren meerdere kwetsbaarheden in versies van ICU lager dan 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.
CVE-ID
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig programma kan de weergave van het kernelgeheugen bepalen
Beschrijving: er was een probleem dat leidde tot de vrijgave van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.
CVE-ID
CVE-2015-5834: Cererdlong van Alibaba Mobile Security Team
IOAcceleratorFamily
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardig programma kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan willekeurige code uitvoeren met systeembevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in IOMobileFrameBuffer. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale aanvaller kan het kernelgeheugen lezen
Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5863: Ilja van Sprundel van IOActive
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard van m00nbsd
CVE-2015-5903: CESG
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale aanvaller kan de waarde van stack-cookies beheren
Beschrijving: er waren meerdere kwetsbaarheden bij de aanmaak van stack cookies in gebruikersruimtes. Dit is verholpen door een verbeterde aanmaak van stack cookies.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokaal proces kan andere processen wijzigen zonder controle van de bevoegdheden
Beschrijving: er was een probleem waarbij rootprocessen die de API processor_set_tasks gebruikten de taakpoorten van andere processen mochten opvragen. Dit probleem is verholpen door een extra controle van de bevoegdheden.
CVE-ID
CVE-2015-5882: Pedro Vilaça in samenwerking met het oorspronkelijke onderzoek van Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen
Beschrijving: er was een probleem met onvoldoende validatie bij de verwerking van IPv6-routeraankondigingen waardoor een aanvaller de hoplimiet kon instellen op een willekeurige waarde. Dit probleem is verholpen door een minimale hoplimiet op te leggen.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan de weergave van het kernelgeheugen bepalen
Beschrijving: er was een probleem in XNU dat leidde tot de vrijgave van het kernelgeheugen. Dit probleem is verholpen door een verbeterde initialisatie van kernelgeheugenstructuren.
CVE-ID
CVE-2015-5842: beist van grayhash
Kernel
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan zorgen voor weigering van service op het systeem
Beschrijving: er was een probleem met de activering van de HFS-schijf. Dit is verholpen door extra validatiecontroles.
CVE-ID
CVE-2015-5748: Maxime Villard van m00nbsd
libpthread
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een lokale gebruiker kan willekeurige code uitvoeren met kernelbevoegdheden
Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team
PluginKit
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: een kwaadaardige bedrijfsapp kan extensies installeren alvorens de app is vertrouwd
Beschrijving: er was een probleem met de validatie van extensies tijdens installaties. Dit is verholpen door een verbeterde controle van apps.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.
removefile
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: de verwerking van kwaadaardige gegevens kan leiden tot het onverwacht beëindigen van de app
Beschrijving: er was een overflow-fout in de delingsroutines van checkint. Dit probleem is verholpen door verbeterde delingsroutines.
CVE-ID
CVE-2015-5840: een anonieme onderzoeker
SQLite
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: meerdere kwetsbaarheden in SQLite v3.8.5
Beschrijving: er waren meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.
CVE-ID
CVE-2015-5895
tidy
Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition
Impact: het bezoeken van een kwaadwillig vervaardigde website kan leiden tot het uitvoeren van willekeurige code
Beschrijving: er was een probleem met geheugenbeschadiging in Tidy. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.
CVE-ID
CVE-2015-5522: Fernando Muñoz van NULLGroup.com
CVE-2015-5523: Fernando Muñoz van NULLGroup.com