Om sikkerhetsinnholdet i watchOS 2.

Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 2.

Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelig. Du finner mer informasjon om Apple Produktsikkerhet på nettstedet Apple Produktsikkerhet.

Du finner mer informasjon om PGP-nøkkelen for Apple Produktsikkerhet under Slik bruker du PGP-nøkkelen for Apple Produktsikkerhet.

Der det er mulig brukes CVE-IDer som referanse til sårbarheter for ytterligere informasjon.

Hvis du vil vite mer om andre sikkerhetsoppdateringer, kan du se Apple sikkerhetsoppdateringer.

watchOS 2

  • Apple Pay

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Noen kort kan gi en terminal mulighet til å innhente begrenset informasjon om de siste transaksjonene ved betaling

    Beskrivelse: Transaksjonsloggfunksjonaliteten ble aktivert i visse konfigurasjoner. Problemet ble løst ved å fjerne transaksjonsloggfunksjonaliteten.

    CVE-ID

    CVE-2015-5916

  • Lyd

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Avspilling av en skadelig lydfil kan føre til uventet avslutning av et program

    Beskrivelse: Det var et problem med ødelagt hukommelse i håndteringen av lydfiler. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon ved Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea

  • Retningslinjer for sertifikatgodkjenning

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Oppdatering av retningslinjer for sertifikatgodkjenning

    Beskrivelse: Retningslinjene for sertifikatgodkjenning ble oppdatert. Den fullstendige oversikten over sertifikater finnes på https://support.apple.com/kb/HT204873?viewlocale=no_NO.

  • CFNetwork

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i en privilegert nettverksposisjon kan kanskje avskjære SSL/TLS-tilkoblinger

    Beskrivelse: Det var problem med sertifikatvalidering i NSURL når et sertifikat ble endret. Problemet ble løst gjennom forbedret sertifikatvalidering.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood i The Omni Group

  • CFNetwork

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Tilkobling til en skadelig webproxytjener kan angi skadelige informasjonskapsler for et nettsted

    Beskrivelse: Det var et problem i håndteringen av proxytilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng i Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet

    Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av domener på øverste nivå. Problemet ble løst gjennom forbedret begrensning av mulighetene til å opprette informasjonskapsler.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng i Blue Lotus Team, Tsinghua-universitetet

  • CFNetwork

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En person med fysisk tilgang til en iOS-enhet kan lese bufferdata fra Apple-apper

    Beskrivelse: Bufferdatat ble kryptert med en nøkkel som ble beskyttet kun av maskinvare-UID. Problemet ble løst ved å kryptere bufferdata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz i NESO Security Labs

  • CoreCrypto

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper kan være i stand til å fastslå en privat nøkkel

    Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper ha vært i stand til å fastslå den privare RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.

  • CoreText

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av en skadelig fontfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av en skadelig tekstfil kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var problemer med ødelagt hukommelse i behandlingen av tekstfiler. Problemene ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5829: M1x7e1 i Safeye Team (www.safeye.org)

  • Dev Tools

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i dyld. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5876: beist of grayhash

  • Diskfiler

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i DiskImages. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et program kan være i stand til å omgå kodesigneringskontroller

    Beskrivelse: Det var et problem med valideringen av kodesignaturen til programmer. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var flere problemer med ødelagt hukommelse i kjernen. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Flere sårbarheter i ICU

    Beskrivelse: Det var flere sårbarheter i ICU-versjonene før 53.1.0. Disse problemene ble løst ved å oppdatere ICU til versjon 55.1.

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem som førte til avdekking av innhold i kjernehukommelsen. Problemet ble løst gjennom forbedret grensekontroll.

    CVE-ID

    CVE-2015-5834: Cererdlong i Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i IOAcceleratorFamily. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig program kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med systemrettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i IOMobileFrameBuffer. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal angriper kan være i stand til å lese kjernehukommelse

    Beskrivelse: Det var et problem med initialisering av hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel i IOActive

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5868: Cererdlong i Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard i m00nbsd

    CVE-2015-5903: CESG

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal angriper kan styre verdien til stakkinformasjonskapsler

    Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler for brukerplass. Problemet ble løst gjennom forbedret generering av stakkinformasjonskapsler.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal prosess kan endre andre prosesser uten berettigelseskontroller

    Beskrivelse: Det var et problem der rotprosesser som benyttet API-et processor_set_tasks API kunne hente oppgaveportene til andre prosesser. Problemet ble løst gjennom forbedrede berettigelseskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça på grunnlag av opprinnelige undersøkelser utført av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting

    Beskrivelse: Det var et problem med utilstrekkelig validering i håndteringen av iPv6-ruterannonseringer som tillot en angriper å sette hoppgrensen til en vilkårlig verdi. Problemet ble løst å innføre en minste hoppgrense.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å fastslå layouten til kjernehukommelsen

    Beskrivelse: Det var et problem i XNU som førte til avdekking av kjernehukommelse. Problemet ble løst gjennom forbedret initialisering av kjernehukommelsesstrukturer.

    CVE-ID

    CVE-2015-5842: beist of grayhash

  • Kjerne

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å forårsake systemnekt av tjenester

    Beskrivelse: Det var et problem med aktivering av HFS-stasjoner. Problemet ble løst gjennom ekstra valideringskontroller.

    CVE-ID

    CVE-2015-5748: Maxime Villard i m00nbsd

  • libpthread

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: En lokal bruker kan være i stand til å utføre vilkårlig kode med kjernerettigheter

    Beskrivelse: Det var et problem med ødelagt hukommelse i kjernen. Problemet ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5899: Lufeng Li i Qihoo 360 Vulcan Team

  • PluginKit

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Et skadelig bedriftsprogram kan installere tillegg før programmet har blitt godkjent

    Beskrivelse: Det var et problem med valideringen av tillegg under installering. Problemet ble løst gjennom forbedret appverifisering.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei i FireEye, Inc.

  • removefile

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Behandling av skadelige data kan føre til uventet avslutning av program

    Beskrivelse: Det var en overflytfeil i checkint-delingsrutinene. Problemet ble løst gjennom forbedrede delingsrutiner.

    CVE-ID

    CVE-2015-5840: en anonym forsker

  • SQLite

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Flere sårbarheter i SQLite v3.8.5

    Beskrivelse: Det var flere sårbarheter i SQLite v3.8.5. Problemene ble løst ved å oppdatere SQLite til versjon v3.8.10.2.

    CVE-ID

    CVE-2015-5895

  • tidy

    Tilgjengelig for: Apple Watch Sport, Apple Watch og Apple Watch Edition

    Virkning: Besøk på et skadelig nettsted kan føre til utføring av vilkårlig kode

    Beskrivelse: Det var et problem med ødelagt hukommelse i Tidy. Problemene ble løst gjennom forbedret hukommelseshåndtering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz i NULLGroup.com

    CVE-2015-5523: Fernando Muñoz i NULLGroup.com

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: