Om sikkerhetsinnholdet i Watch OS 1.0.1.

Dette dokumentet beskriver sikkerhetsinnholdet i Watch OS 1.0.1.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

Watch OS 1.0.1

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den fullstendige oversikten over sertifikater finnes på https://support.apple.com/kb/HT204873?viewlocale=no_NO

  • FontParser

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et program som bruker NSXMLParser, kan misbrukes til å avdekke informasjon

    Beskrivelse: Det var et XML External Entity-problem i NSXMLParsers håndtering av XML. Problemet ble løst ved ikke å laste inn eksterne objekter på tvers av opphav.

    CVE-ID

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem i IOHIDFamily som førte til avdekking av innhold i kjernehukommelsen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-1096: Ilja van Sprundel i IOActive

  • IOAcceleratorFamily

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem i IOAcceleratorFamily som førte til avdekking av innhold i kjernehukommelsen. Problemet ble løst ved å fjerne unødvendig kode.

    CVE-ID

    CVE-2015-1094: Cererdlong i Alibaba Mobile Security Team

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan forårsake systemnekting av tjeneste

    Beskrivelse: Det var en race-tilstand i kjernens setreuid-systemkall. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-1099: Mark Mentovai i Google Inc.

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å omdirigere brukertrafikk til vilkårlige verter

    Beskrivelse: ICMP-omdirigering var aktivert som standard. Problemet ble løst ved å deaktivere ICMP-omdirigering.

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En ekstern angriper kan forårsake nekting av tjeneste

    Beskrivelse: Det var en tilstandsinkonsistens i håndteringen av TCP-data utenfor frekvensbåndet. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-1105: Kenton Varda i Sandstorm.io

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan eskalere rettigheter ved bruk av en kompromittert tjeneste som var tenkt kjørt med reduserte rettigheter

    Beskrivelse: setreuid- og setregid-systemkallene fikk ikke sluppet rettigheter permanent. Problemet ble løst ved å slippe rettigheter riktig.

    CVE-ID

    CVE-2015-1117: Mark Mentovai i Google Inc.

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En ekstern angriper kan være i stand til å omgå nettverksfiltre

    Beskrivelse: Systemet ville behandle noen IPv6-pakker fra eksterne nettverksgrensesnitt som lokale pakker. Problemet ble løst ved å avvise disse pakkene.

    CVE-ID

    CVE-2015-1104: Stephen Roettger i Google Security Team

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i en privilegert nettverksposisjon kan være i stand til å forårsake tjenestenekt

    Beskrivelse: Det var en tilstandsinkonsistens i behandlingen av TCP-hoder. Problemet ble løst gjennom forbedret tilstandshåndtering.

    CVE-ID

    CVE-2015-1102: Andrey Khudyakov og Maxim Zhuravlev ved Kaspersky Lab

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan være i stand til å forårsake uventet systemavslutning eller lesing av kjernehukommelse

    Beskrivelse: Det var et problem med tilgang til hukommelse utenfor grensene i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-1100: Maxime Villard i m00nbsd

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan kanskje utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-1101: lokihardt@ASRT som arbeider med HPs Zero Day Initiative

  • Secure Transport

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-tilkoblinger

    Beskrivelse: Secure Transport godtok kortvarige RSA-nøkler, som vanligvis bare brukes i RSA-chiffersamlinger med eksportstyrke over forbindelser som bruker RSA-chiffersamlinger med full styrke. Dette problemet, som også kalles FREAK, berørte bare forbindelser til tjenere som støtter RSA-chiffersamlinger med eksportstyrke, og ble løst ved å fjerne støtte for kortvarige RSA-nøkler.

    CVE-ID

    CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti og Jean Karim Zinzindohoue i Prosecco ved Inria Paris

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: