Zawartość związana z zabezpieczeniami w systemie watchOS 2.0.1

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 2.0.1.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

watchOS 2.0.1

  • Apple Pay

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: niektóre karty mogą pozwalać terminalowi na pobieranie ograniczonych informacji o ostatnich transakcjach podczas realizowania transakcji.

    Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji. To uaktualnienie rozwiązuje też omawiany problem w przypadku zegarków Apple Watch wyprodukowanych z systemem watchOS 2.

    Identyfikator CVE

    CVE-2015-5916

  • Bom

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.

    Opis: procedura obsługi archiwów CPIO zawierała błąd w mechanizmie przechodzenia przez plik. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.

    Identyfikator CVE

    CVE-2015-7006: Mark Dowd z firmy Azimuth Security

  • configd

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.

    Opis: biblioteka klienta DNS zawierała błąd powodujący przepełnienie bufora sterty. Użytkownik lokalny dysponujący możliwością podszycia się pod odpowiedzi lokalnej usługi configd może wykonać dowolny kod na klientach DNS.

    Identyfikator CVE

    CVE-2015-7015: PanguTeam

  • CoreGraphics

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.

    Opis: w narzędziu CoreGraphics występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5925: Apple

    CVE-2015-5926: Apple

  • FontParser

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: wyświetlanie dokumentu ze specjalnie spreparowaną czcionką może spowodować wykonanie dowolnego kodu.

    Opis: w procedurze obsługi plików czcionek występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5927: Apple

    CVE-2015-5942

  • Grand Central Dispatch

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze obsługi wywołań wysyłki występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-6989: Apple

  • ImageIO

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze analizowania metadanych obrazów występował wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu walidacji metadanych.

    Identyfikator CVE

    CVE-2015-5935: Apple

    CVE-2015-5936: Apple

    CVE-2015-5937: Apple

    CVE-2015-5939: Apple

  • IOAcceleratorFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie IOAcceleratorFamily występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-6996: Ian Beer z Google Project Zero

  • IOHIDFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-6974: Luca Todesco (@qwertyoruiop)

  • mDNSResponder

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes

    Zagrożenie: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.

    Opis: w procedurze analizowania danych DNS występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-7987: Alexandre Helie

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: