W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
watchOS 2
Apple Pay
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przy dokonywaniu płatności niektóre karty pozwalają terminalowi na pobranie pewnych informacji na temat ostatniej transakcji.
Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji.
Identyfikator CVE
CVE-2015-5916
Dźwięk
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w procedurze obsługi plików audio występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5862: YoungJin Yoon z Information Security Lab (pod kier. prof. Taekyoung Kwona) na Uniwersytecie Yonsei w Seulu
Zasady zaufania dotyczące certyfikatów
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: uaktualnienie zasad dotyczących zaufania dla certyfikatów.
Opis: uaktualniono zasady dotyczące zaufania dla certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie https://support.apple.com/pl-pl/HT204873.
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może przechwycić połączenia SSL/TLS.
Opis: w obiekcie NSURL występował problem ze sprawdzaniem poprawności certyfikatów, gdy certyfikat ulegał zmianie. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności certyfikatów.
Identyfikator CVE
CVE-2015-5824: Timothy J. Wood z The Omni Group
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: nawiązanie połączenia ze złośliwym internetowym serwerem proxy może skutkować ustawieniem dla witryny złośliwie spreparowanych plików cookie.
Opis: wykryto błąd w procedurze obsługi odpowiedzi na żądania połączenia z serwerem proxy. Ten problem rozwiązano przez usunięcie nagłówka set-cookie przy parsowaniu odpowiedzi na żądanie połączenia.
Identyfikator CVE
CVE-2015-5841: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może śledzić aktywność użytkownika.
Opis: w procedurze obsługi domen najwyższego poziomu występował problem z międzydomenowymi plikami cookie. Rozwiązanie problemu polega na zastosowaniu lepszych ograniczeń co do tworzenia plików cookie.
Identyfikator CVE
CVE-2015-5885: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może odczytać dane przechowywane przez aplikacje firmy Apple w pamięci podręcznej.
Opis: dane w pamięci podręcznej były szyfrowane przy użyciu klucza chronionego jedynie sprzętowym identyfikatorem UID. Ten problem rozwiązano przez zaszyfrowanie danych w pamięci podręcznej przy użyciu klucza chronionego sprzętowych identyfikatorem UID oraz kodem użytkownika.
Identyfikator CVE
CVE-2015-5898: Andreas Kurtz z NESO Security Labs
CoreCrypto
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakujący może być w stanie ustalić klucz prywatny.
Opis: obserwując wiele prób podpisania lub odszyfrowania, atakujący mógł ustalić prywatny klucz RSA. Ten problem rozwiązano przez zastosowanie ulepszonych algorytmów szyfrowania.
CoreText
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.
Identyfikator CVE
CVE-2015-5874: John Villamil (@day6reak) z Yahoo Pentest Team
Mechanizm Data Detectors
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików tekstowych występowały błędy powodujące uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5829: M1x7e1 z Safeye Team (www.safeye.org)
Narzędzia deweloperskie
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie dyld występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5876: beist z grayhash
Obrazy dysków
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie DiskImages występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.
Opis: wykryto błąd w procedurze sprawdzania poprawności podpisu kodu w plikach wykonywalnych. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występowały różne błędy powodujące uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: wiele luk w zabezpieczeniach biblioteki ICU.
Opis: biblioteka ICU w wersji starszej niż 53.1.0 zawierała wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie biblioteki ICU do wersji 55.1.
Identyfikator CVE
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja mogła być w stanie określić rozkład pamięci jądra.
Opis: wykryto błąd, który powodował ujawnienie zawartości pamięci jądra. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5834: Cererdlong z Alibaba Mobile Security Team
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOAcceleratorFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5848: Filippo Bigarella
IOKit
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOMobileFrameBuffer występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.
Opis: w jądrze występował błąd inicjalizacji pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5863: Ilja van Sprundel z IOActive
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5868: Cererdlong z Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard z m00nbsd
CVE-2015-5903: CESG
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: lokalny atakujący może kontrolować wartość plików cookie ze stosu.
Opis: wykryto wiele słabych punktów w procedurze generowania plików cookie w stosie w przestrzeni użytkownika. Ten problem rozwiązano przez poprawienie procedury generowania plików cookie w stosie.
Identyfikator CVE
CVE-2013-3951: Stefan Esser
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: proces lokalny może modyfikować inne procesy bez sprawdzania uprawnień.
Opis: wykryto błąd, w wyniku którego procesy główne (root) mogły sprawdzić porty zadań innych procesów, korzystając z interfejsu API „processor_set_tasks”. Ten problem rozwiązano przez zastosowanie dodatkowych procedur sprawdzania uprawnień.
Identyfikator CVE
CVE-2015-5882: Pedro Vilaça na podstawie oryginalnych badań, które prowadzili Ming-chieh Pan i Sung-ting Tsai; Jonathan Levin
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: atakujący w lokalnym segmencie sieci LAN może wyłączyć routing IPv6.
Opis: w procedurze obsługi anonsów routerów IPv6 występował błąd niedostatecznej walidacji, który pozwalał atakującemu na ustawienie dowolnej wartości dla limitu przeskoków. Ten problem rozwiązano przez wymuszenie minimalnej wartości dla limitu przeskoków.
Identyfikator CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.
Opis: w komponencie XNU występował błąd, który powodował ujawnienie zawartości pamięci jądra. Ten problem rozwiązano przez poprawienie procedury inicjalizowania struktur w pamięci jądra.
Identyfikator CVE
CVE-2015-5842: beist z grayhash
Jądro
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.
Opis: wykryto błąd w procedurze montowania dysków HFS. Ten problem rozwiązano przez zastosowanie dodatkowych testów sprawdzających.
Identyfikator CVE
CVE-2015-5748: Maxime Villard z m00nbsd
libpthread
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5899: Lufeng Li z Qihoo 360 Vulcan Team
PluginKit
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja korporacyjna może zainstalować rozszerzenia, zanim zostanie uznana za zaufaną.
Opis: wykryto błąd w procedurze walidacji rozszerzeń podczas instalacji. Ten problem rozwiązano przez poprawienie procedury weryfikowania aplikacji.
Identyfikator CVE
CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei z FireEye, Inc.
removefile
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w procedurach dzielenia w funkcji checkint występował błąd przepełnienia. Ten problem rozwiązano przez poprawienie procedur dzielenia.
Identyfikator CVE
CVE-2015-5840: anonimowy badacz
SQLite
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: liczne luki w zabezpieczeniach oprogramowania SQLite 3.8.5.
Opis: oprogramowanie SQLite w wersji 3.8.5 zawierało wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie oprogramowania SQLite do wersji 3.8.10.2.
Identyfikator CVE
CVE-2015-5895
tidy
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: w komponencie Tidy występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2015-5522: Fernando Muñoz z NULLGroup.com
CVE-2015-5523: Fernando Muñoz z NULLGroup.com