Om sikkerhetsinnholdet i watchOS 2
Dette dokumentet beskriver sikkerhetsinnholdet i watchOS 2.
Av hensyn til kundenes sikkerhet er det Apples praksis ikke å videreformidle, diskutere eller bekrefte sikkerhetsproblemer før det er foretatt en fullstendig undersøkelse og eventuelle nødvendige rettelser eller utgivelser er tilgjengelige. Du finner mer informasjon om Apple-produktsikkerhet på nettstedet for Apple-produktsikkerhet.
Mer informasjon finnes her: Slik bruker du PGP-nøkkelen for Apple-produktsikkerhet.
Der det er mulig, brukes CVE-ID-er som henvisning for ytterligere informasjon om svakhetene.
Mer informasjon finnes her: Sikkerhetsoppdateringer fra Apple.
watchOS 2
Apple Pay
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Med visse kort kan det være mulig at en terminal henter begrenset nylig transaksjonsinformasjon ved betaling
Beskrivelse: Transaksjonsloggfunksjonaliteten ble aktivert i visse konfigurasjoner. Problemet ble løst ved å fjerne transaksjonsloggfunksjonaliteten.
CVE-ID
CVE-2015-5916
Audio
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Avspilling av en skadelig lydfil kan føre til at en app avsluttes uventet
Beskrivelse: Det var et problem med minnekorrupsjon i håndteringen av lydfiler. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5862: YoungJin Yoon fra Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei-universitetet, Seoul, Sør-Korea
Certificate Trust Policy
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Oppdatering av sertifikattillitsregler
Beskrivelse: Sertifikattillitsreglene ble oppdatert. En fullstendig liste over sertifikater finner du her: https://support.apple.com/HT204873.
CFNetwork
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En angriper med en privilegert nettverksposisjon kan avskjære SSL/TLS-tilkoblinger
Beskrivelse: Det var et sertifikatvalideringsproblem i NSURL ved endring av sertifikater. Problemet ble løst gjennom forbedret validering av sertifikater.
CVE-ID
CVE-2015-5824: Timothy J. Wood fra The Omni Group
CFNetwork
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Ved tilkobling til en skadelig nettproxy kan skadelige informasjonskapsler for et nettsted lastes ned
Beskrivelse: Det var et problem i håndteringen av proxy-tilkoblingssvar. Problemet ble løst ved å fjerne «set-cookie»-hodet ved analyse av tilkoblingssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua Universitet
CFNetwork
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En angriper i en privilegert nettverksposisjon kan spore en brukers aktivitet
Beskrivelse: Det var et problem med informasjonskapsler på tvers av domener i håndteringen av toppnivådomener. Problemet ble løst gjennom forbedret begrensning av mulighetene til å opprette informasjonskapsler.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng fra Blue Lotus Team, Tsinghua Universitet
CFNetwork
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En person med fysisk tilgang til en iOS-enhet kan lese bufferdata fra Apple-apper
Beskrivelse: Bufferdata ble kryptert med en nøkkel som kun er beskyttet av maskinvare-UID. Problemet ble løst ved å kryptere bufferdata med en nøkkel som beskyttes av maskinvare-UID og brukerens sikkerhetskode.
CVE-ID
CVE-2015-5898: Andreas Kurtz fra NESO Security Labs
CoreCrypto
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En angriper kan finne en privat nøkkel
Beskrivelse: Ved å observere mange signerings- eller dekrypteringsforsøk kan en angriper finne den private RSA-nøkkelen. Problemet ble løst gjennom forbedrede krypteringsalgoritmer.
CoreText
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Behandling av en skadelig fontfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Det var et problem med minnekorrupsjon i behandlingen av fontfiler. Problemet ble løst gjennom forbedret validering av inndata.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Behandling av en skadelig tekstfil kan føre til kjøring av vilkårlig kode
Beskrivelse: Det var problemer med minnekorrupsjon i behandlingen av tekstfiler. Problemene ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5829: M1x7e1 fra Safeye Team (www.safeye.org)
Dev Tools
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En skadelig app kan kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et minnekorrupsjonsproblem i dyld. Dette ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5876: beist fra grayhash
Disk Images
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et minnekorrupsjonsproblem i DiskImages. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En app kan omgå kodesignering
Beskrivelse: Det var et problem med validering av kodesignaturen til kjørbare filer. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var flere problemer med minnekorrupsjon i kjernen. Problemene ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Flere sårbarheter i ICU
Beskrivelse: Det var flere sårbarheter i ICU-versjoner før 53.1.0. Disse problemene ble løst ved å oppdatere ICU til versjon 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand fra Google Project Zero
IOAcceleratorFamily
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En skadelig app kan bestemme kjerneminneoppsett
Beskrivelse: Det var et problem som førte til avsløring av kjerneminneinnhold. Problemet ble løst gjennom forbedret grensekontroll.
CVE-ID
CVE-2015-5834: Cererdlong fra Alibaba Mobile Security Team
IOAcceleratorFamily
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med minnekorrupsjon i IOAcceleratorFamily. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En skadelig app kan kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med minnekorrupsjon i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobilFrameBuffer
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan kjøre vilkårlig kode med systemrettigheter
Beskrivelse: Det var et problem med minnekorrupsjon i IOMobileFrameBuffer. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal angriper kan lese kjerneminne
Beskrivelse: Det var et problem med minneinitialisering i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel fra IOActive
Kernel
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et minnekorrupsjonsproblem i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5868: Cererdlong fra Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard fra m00nbsd
CVE-2015-5903: CESG
Kernel
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal angriper kan kontrollere verdien av stakkinformasjonskapsler
Beskrivelse: Det var flere svakheter i genereringen av stakkinformasjonskapsler i brukerrom. Problemet ble løst gjennom forbedret generering av stakkinformasjonskapsler.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal prosess kan endre andre prosesser uten rettighetskontroller
Beskrivelse: Det oppstod et problem der rotprosesser som brukte processor_set_tasks-API, hadde tillatelse til å hente oppgaveportene til andre prosesser. Problemet ble løst gjennom forbedrede berettigelseskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça, på grunnlag av opprinnelige undersøkelser av Ming-chieh Pan og Sung-ting Tsai; Jonathan Levin
Kernel
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En angriper i et lokalt LAN-segment kan deaktivere IPv6-ruting
Beskrivelse: Det fantes et utilstrekkelig valideringsproblem ved håndtering av IPv6-ruterannonser som gjorde det mulig for å en angriper å angi en utilsiktet verdi for hoppgrensen. Problemet ble løst ved å innføre en minste hoppgrense.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan bestemme kjerneminneoppsett
Beskrivelse: Det var et problem i XNU som førte til avsløring av kjerneminne. Problemet ble løst gjennom forbedret initialisering av kjerneminnestrukturer.
CVE-ID
CVE-2015-5842: beist fra grayhash
Kernel
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan forårsake systemnekt
Beskrivelse: Det var et problem med HFS-stasjonsmontering. Problemet ble løst gjennom ekstra valideringskontroller.
CVE-ID
CVE-2015-5748: Maxime Villard fra m00nbsd
libpthread
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En lokal bruker kan kjøre vilkårlig kode med kjernerettigheter
Beskrivelse: Det var et problem med minnekorrupsjon i kjernen. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5899: Lufeng Li fra Qihoo 360 Vulcan Team
PluginKit
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: En skadelig bedriftsapp kan installere utvidelser før appen har blitt klarert
Beskrivelse: Det var et problem i valideringen av utvidelser under installasjonen. Problemet ble løst gjennom forbedret appverifisering.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue og Tao (Lenx) Wei fra FireEye, Inc.
removefile
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Behandling av skadelige data kan føre til at en app avsluttes uventet
Beskrivelse: Det var en overflytsfeil i divisjonsrutinene i checkint. Problemet ble løst gjennom forbedrede divisjonsrutiner.
CVE-ID
CVE-2015-5840: en anonym forsker
SQLite
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Flere sårbarheter i SQLite 3.8.5
Beskrivelse: Det var flere sårbarheter i SQLite 3.8.5. Disse problemene ble løst ved å oppdatere SQLite til versjon 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Tilgjengelig for Apple Watch Sport, Apple Watch og Apple Watch Edition
Virkning: Besøk på et skadelig nettsted kan føre til kjøring av vilkårlig kode.
Beskrivelse: Det var et minnekorrupsjonsproblem i Tidy. Problemet ble løst gjennom forbedret minnehåndtering.
CVE-ID
CVE-2015-5522: Fernando Muñoz fra NULLGroup.com
CVE-2015-5523: Fernando Muñoz fra NULLGroup.com
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.