W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
Watch OS 1.0.1
Zasady zaufania dotyczące certyfikatów
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: uaktualnienie zasad zaufania dotyczących certyfikatów.
Opis: uaktualniono zasady zaufania dotyczące certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie https://support.apple.com/pl-pl/HT204873
FontParser
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1093: Marc Schoenefeld
Foundation
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: aplikacja korzystająca z parsera NSXMLParser może zostać wykorzystana do wydobycia informacji.
Opis: w procedurze obsługi danych XML przez parser NSXMLParser występował błąd dotyczący zewnętrznych jednostek XML. Rozwiązanie tego problemu polega na nieładowaniu jednostek zewnętrznych z różnych źródeł.
Identyfikator CVE
CVE-2015-1092: Ikuya Fukumoto
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: w komponencie IOHIDFamily występował błąd powodujący ujawnianie zawartości pamięci jądra. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-1096: Ilja van Sprundel z IOActive
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie określić rozkład pamięci jądra.
Opis: w komponencie IOAcceleratorFamily występował błąd, który powodował ujawnienie zawartości pamięci jądra. Ten problem rozwiązano przez usunięcie niepotrzebnego kodu.
Identyfikator CVE
CVE-2015-1094: Cererdlong z Alibaba Mobile Security Team
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może spowodować atak typu „odmowa usługi”.
Opis: w wywołaniu systemowym jądra setreuid występował problem związany z sytuacją wyścigu. Rozwiązanie tego problemu polega na poprawieniu procedury zarządzania stanem.
Identyfikator CVE
CVE-2015-1099: Mark Mentovai z Google Inc.
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może spowodować przekierowanie ruchu użytkownika do dowolnych hostów.
Opis: przekierowania ICMP były domyślnie włączone. Ten problem rozwiązano przez wyłączenie przekierowań ICMP.
Identyfikator CVE
CVE-2015-1103: Zimperium Mobile Security Labs
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: w procedurze obsługi danych TCP poza pasmem występowała niespójność stanu. Rozwiązanie tego problemu polega na poprawieniu procedury zarządzania stanem.
Identyfikator CVE
CVE-2015-1105: Kenton Varda z Sandstorm.io
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może podnieść swoje uprawnienia przy użyciu usługi ze złamanymi zabezpieczeniami, która powinna działać z obniżonymi uprawnieniami.
Opis: wywołania systemowe setreuid i setregid nie usuwały trwale uprawnień. Ten problem rozwiązano przez prawidłowe usuwanie uprawnień.
Identyfikator CVE
CVE-2015-1117: Mark Mentovai z Google Inc.
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba atakująca zdalnie może być w stanie obejść filtry sieciowe.
Opis: system mógł traktować pewne pakiety IPv6 ze zdalnych interfejsów sieciowych jako pakiety lokalne. Ten problem rozwiązano przez odrzucanie takich pakietów.
Identyfikator CVE
CVE-2015-1104: Stephen Roettger z zespołu do spraw bezpieczeństwa w firmie Google
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może spowodować atak typu „odmowa usługi”.
Opis: w procedurze obsługi nagłówków TCP występowała niespójność stanu. Ten problem rozwiązano przez poprawienie procedury obsługi stanu.
Identyfikator CVE
CVE-2015-1102: Andrey Khudyakov i Maxim Zhuravlev z Kaspersky Lab
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie spowodować nieoczekiwane zamknięcie systemu lub odczytanie pamięci jądra.
Opis: w jądrze występował błąd dostępu do pamięci spoza dozwolonego zakresu. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1100: Maxime Villard, witryna m00nbsd
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-1101: użytkownik lokihardt@ASRT w ramach programu Zero Day Initiative firmy HP
Secure Transport
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może przechwycić połączenia SSL/TLS.
Opis: protokół Secure Transport akceptował krótkie efemeryczne klucze RSA (zwykle używane tylko w eksportowych pakietach szyfrujących RSA) przy połączeniach wykorzystujących pełne pakiety szyfrujące RSA. Ten problem, znany także pod nazwą FREAK, dotykał tylko połączeń z serwerami, które obsługują eksportowe pakiety szyfrujące RSA, a jego rozwiązanie polega na niewspieraniu efemerycznych kluczy RSA.
Identyfikator CVE
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti i Jean Karim Zinzindohoue z zespołu Prosecco przy instytucie Inria w Paryżu