Zawartość związana z zabezpieczeniami w systemie watchOS 2

W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple

watchOS 2

  • Apple Pay

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przy dokonywaniu płatności niektóre karty pozwalają terminalowi na pobranie pewnych informacji na temat ostatniej transakcji.

    Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji.

    Identyfikator CVE

    CVE-2015-5916

  • Audio

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

    Opis: w procedurze obsługi plików audio występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5862: YoungJin Yoon of Information Security Lab (pod kierunkiem:prof. Taekyoung Kwon), Yonsei University, Seul, Korea

  • Certificate Trust Policy

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: uaktualnienie zasad dotyczących zaufania dla certyfikatów.

    Opis: uaktualniono zasady dotyczące zaufania dla certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie https://support.apple.com/HT204873.

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić połączenia SSL/TLS.

    Opis: w obiekcie NSURL występował problem ze sprawdzaniem poprawności certyfikatów, gdy certyfikat ulegał zmianie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatów.

    Identyfikator CVE

    CVE-2015-5824: Timothy J. Wood z The Omni Group

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: nawiązanie połączenia ze złośliwym internetowym serwerem proxy może skutkować ustawieniem dla witryny złośliwie spreparowanych plików cookie.

    Opis: wykryto błąd w procedurze obsługi odpowiedzi na żądania połączenia z serwerem proxy. Ten problem rozwiązano przez usunięcie nagłówka ustawiania pliku cookie podczas analizowania odpowiedzi na połączenie.

    Identyfikator CVE

    CVE-2015-5841: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może śledzić aktywność użytkownika.

    Opis: w procedurze obsługi domen najwyższego poziomu występował problem z międzydomenowymi plikami cookie. Ten problem rozwiązano przez poprawienie ograniczeń podczas tworzenia plików cookie.

    Identyfikator CVE

    CVE-2015-5885: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może odczytać dane przechowywane przez aplikacje firmy Apple w pamięci podręcznej.

    Opis: dane w pamięci podręcznej były szyfrowane przy użyciu klucza chronionego jedynie sprzętowym identyfikatorem UID. Ten problem rozwiązano przez zaszyfrowanie danych bufora przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2015-5898: Andreas Kurtz z NESO Security Labs

  • CoreCrypto

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: osoba atakująca może być w stanie ustalić klucz prywatny.

    Opis: obserwacja wielu prób podpisania lub odszyfrowania mogła pozwolić osobie atakującej ustalić prywatny klucz RSA. Ten problem rozwiązano przez użycie udoskonalonych algorytmów szyfrowania.

  • CoreText

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.

    Identyfikator CVE

    CVE-2015-5874: John Villamil (@day6reak) z Yahoo Pentest Team

  • Data Detectors Engine

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików tekstowych występowały błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5829: M1x7e1 z Safeye Team (www.safeye.org)

  • Dev Tools

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie dyld występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5876: beist z grayhash

  • Disk Images

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie DiskImages występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.

    Opis: wykryto błąd w procedurze sprawdzania poprawności podpisu kodu w plikach wykonywalnych. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5839: @PanguTeam, zespół TaiG Jailbreak

  • GasGauge

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występowały różne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5918: firma Apple

    CVE-2015-5919: firma Apple

  • ICU

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: wiele luk w zabezpieczeniach biblioteki ICU.

    Opis: biblioteka ICU w wersji starszej niż 53.1.0 zawierała wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie biblioteki ICU do wersji 55.1.

    Identyfikator CVE

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand z Google Project Zero

  • IOAcceleratorFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja mogła być w stanie określić rozkład pamięci jądra.

    Opis: wykryto błąd, który powodował ujawnienie zawartości pamięci jądra. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5834: Cererdlong z Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie IOAcceleratorFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie IOMobileFrameBuffer występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.

    Opis: w jądrze występował błąd inicjalizacji pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5863: Ilja van Sprundel z IOActive

  • Kernel

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5868: Cererdlong z Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard z m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: lokalny atakujący może kontrolować wartość plików cookie ze stosu.

    Opis: wykryto wiele słabych punktów w procedurze generowania plików cookie w stosie w przestrzeni użytkownika. Ten problem rozwiązano przez ulepszenie procedur generowania plików cookie stosu.

    Identyfikator CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: proces lokalny może modyfikować inne procesy bez sprawdzania uprawnień.

    Opis: wykryto błąd, w wyniku którego procesy główne (root) mogły sprawdzić porty zadań innych procesów, korzystając z interfejsu API „processor_set_tasks”. Ten błąd rozwiązano przez dodanie procedur sprawdzania uprawnień.

    Identyfikator CVE

    CVE-2015-5882: Pedro Vilaça w oparciu o badania Ming-chieh Pana i Sung-ting Tsai; Jonathan Levin

  • Kernel

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: osoba atakująca w lokalnym segmencie sieci LAN może wyłączyć routing IPv6.

    Opis: w procedurze obsługi anonsów routerów IPv6 występował błąd niedostatecznej walidacji, który pozwalał osobie atakującej na ustawienie dowolnej wartości dla limitu przeskoków. Ten problem rozwiązano przez wymuszenie minimalnego limitu przeskoków.

    Identyfikator CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja mogła być w stanie określić rozkład pamięci jądra.

    Opis: w komponencie XNU występował błąd, który powodował ujawnienie zawartości pamięci jądra. Ten błąd rozwiązano przez poprawienie procedury inicjowania struktur pamięci jądra.

    Identyfikator CVE

    CVE-2015-5842: beist z grayhash

  • Kernel

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie spowodować atak typu „odmowa usługi”.

    Opis: wykryto błąd w procedurze montowania dysków HFS. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania poprawności.

    Identyfikator CVE

    CVE-2015-5748: Maxime Villard z m00nbsd

  • libpthread

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5899: Lufeng Li z grupy Qihoo 360 Vulcan Team

  • PluginKit

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja korporacyjna może zainstalować rozszerzenia, zanim zostanie uznana za zaufaną.

    Opis: wykryto błąd w procedurze walidacji rozszerzeń podczas instalacji. Ten błąd rozwiązano przez wprowadzenie ulepszonej weryfikacji aplikacji.

    Identyfikator CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei z firmy FireEye, Inc.

  • removefile

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przetworzenie złośliwie spreparowanych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

    Opis: w procedurach dzielenia w funkcji checkint występował błąd przepełnienia. Ten błąd rozwiązano przez poprawienie procedur dzielenia.

    Identyfikator CVE

    CVE-2015-5840: anonimowy badacz

  • SQLite

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: liczne luki w zabezpieczeniach oprogramowania SQLite 3.8.5.

    Opis: oprogramowanie SQLite w wersji 3.8.5 zawierało wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie oprogramowania SQLite do wersji 3.8.10.2.

    Identyfikator CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w komponencie Tidy występował błąd powodujący uszkodzenie zawartości pamięci. Te błędy rozwiązano przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5522: Fernando Muñoz z NULLGroup.com

    CVE-2015-5523: Fernando Muñoz z NULLGroup.com

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: