O zawartości związanej z zabezpieczeniami w systemie watchOS 2

Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 2.

W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.

Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.

Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.

Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.

watchOS 2

  • Apple Pay

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przy dokonywaniu płatności niektóre karty pozwalają terminalowi na pobranie pewnych informacji na temat ostatniej transakcji.

    Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji.

    Identyfikator CVE

    CVE-2015-5916

  • Dźwięk

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

    Opis: w procedurze obsługi plików audio występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5862: YoungJin Yoon z Information Security Lab (pod kier. prof. Taekyoung Kwona) na Uniwersytecie Yonsei w Seulu

  • Zasady zaufania dotyczące certyfikatów

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: uaktualnienie zasad dotyczących zaufania dla certyfikatów.

    Opis: uaktualniono zasady dotyczące zaufania dla certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie https://support.apple.com/pl-pl/HT204873.

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może przechwycić połączenia SSL/TLS.

    Opis: w obiekcie NSURL występował problem ze sprawdzaniem poprawności certyfikatów, gdy certyfikat ulegał zmianie. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności certyfikatów.

    Identyfikator CVE

    CVE-2015-5824: Timothy J. Wood z The Omni Group

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: nawiązanie połączenia ze złośliwym internetowym serwerem proxy może skutkować ustawieniem dla witryny złośliwie spreparowanych plików cookie.

    Opis: wykryto błąd w procedurze obsługi odpowiedzi na żądania połączenia z serwerem proxy. Ten problem rozwiązano przez usunięcie nagłówka set-cookie przy parsowaniu odpowiedzi na żądanie połączenia.

    Identyfikator CVE

    CVE-2015-5841: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: atakujący z uprzywilejowanym dostępem do sieci może śledzić aktywność użytkownika.

    Opis: w procedurze obsługi domen najwyższego poziomu występował problem z międzydomenowymi plikami cookie. Rozwiązanie problemu polega na zastosowaniu lepszych ograniczeń co do tworzenia plików cookie.

    Identyfikator CVE

    CVE-2015-5885: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua

  • CFNetwork

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może odczytać dane przechowywane przez aplikacje firmy Apple w pamięci podręcznej.

    Opis: dane w pamięci podręcznej były szyfrowane przy użyciu klucza chronionego jedynie sprzętowym identyfikatorem UID. Ten problem rozwiązano przez zaszyfrowanie danych w pamięci podręcznej przy użyciu klucza chronionego sprzętowych identyfikatorem UID oraz kodem użytkownika.

    Identyfikator CVE

    CVE-2015-5898: Andreas Kurtz z NESO Security Labs

  • CoreCrypto

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: atakujący może być w stanie ustalić klucz prywatny.

    Opis: obserwując wiele prób podpisania lub odszyfrowania, atakujący mógł ustalić prywatny klucz RSA. Ten problem rozwiązano przez zastosowanie ulepszonych algorytmów szyfrowania.

  • CoreText

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury sprawdzania poprawności danych wejściowych.

    Identyfikator CVE

    CVE-2015-5874: John Villamil (@day6reak) z Yahoo Pentest Team

  • Mechanizm Data Detectors

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.

    Opis: w procedurze przetwarzania plików tekstowych występowały błędy powodujące uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5829: M1x7e1 z Safeye Team (www.safeye.org)

  • Narzędzia deweloperskie

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie dyld występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5876: beist z grayhash

  • Obrazy dysków

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie DiskImages występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.

    Opis: wykryto błąd w procedurze sprawdzania poprawności podpisu kodu w plikach wykonywalnych. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występowały różne błędy powodujące uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: wiele luk w zabezpieczeniach biblioteki ICU.

    Opis: biblioteka ICU w wersji starszej niż 53.1.0 zawierała wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie biblioteki ICU do wersji 55.1.

    Identyfikator CVE

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja mogła być w stanie określić rozkład pamięci jądra.

    Opis: wykryto błąd, który powodował ujawnienie zawartości pamięci jądra. Ten problem rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.

    Identyfikator CVE

    CVE-2015-5834: Cererdlong z Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie IOAcceleratorFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami systemowymi.

    Opis: w komponencie IOMobileFrameBuffer występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.

    Opis: w jądrze występował błąd inicjalizacji pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5863: Ilja van Sprundel z IOActive

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5868: Cererdlong z Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard z m00nbsd

    CVE-2015-5903: CESG

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: lokalny atakujący może kontrolować wartość plików cookie ze stosu.

    Opis: wykryto wiele słabych punktów w procedurze generowania plików cookie w stosie w przestrzeni użytkownika. Ten problem rozwiązano przez poprawienie procedury generowania plików cookie w stosie.

    Identyfikator CVE

    CVE-2013-3951: Stefan Esser

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: proces lokalny może modyfikować inne procesy bez sprawdzania uprawnień.

    Opis: wykryto błąd, w wyniku którego procesy główne (root) mogły sprawdzić porty zadań innych procesów, korzystając z interfejsu API „processor_set_tasks”. Ten problem rozwiązano przez zastosowanie dodatkowych procedur sprawdzania uprawnień.

    Identyfikator CVE

    CVE-2015-5882: Pedro Vilaça na podstawie oryginalnych badań, które prowadzili Ming-chieh Pan i Sung-ting Tsai; Jonathan Levin

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: atakujący w lokalnym segmencie sieci LAN może wyłączyć routing IPv6.

    Opis: w procedurze obsługi anonsów routerów IPv6 występował błąd niedostatecznej walidacji, który pozwalał atakującemu na ustawienie dowolnej wartości dla limitu przeskoków. Ten problem rozwiązano przez wymuszenie minimalnej wartości dla limitu przeskoków.

    Identyfikator CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może być w stanie określić rozkład pamięci jądra.

    Opis: w komponencie XNU występował błąd, który powodował ujawnienie zawartości pamięci jądra. Ten problem rozwiązano przez poprawienie procedury inicjalizowania struktur w pamięci jądra.

    Identyfikator CVE

    CVE-2015-5842: beist z grayhash

  • Jądro

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może spowodować atak typu „odmowa usługi”.

    Opis: wykryto błąd w procedurze montowania dysków HFS. Ten problem rozwiązano przez zastosowanie dodatkowych testów sprawdzających.

    Identyfikator CVE

    CVE-2015-5748: Maxime Villard z m00nbsd

  • libpthread

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: użytkownik lokalny może wykonać dowolny kod z uprawnieniami jądra.

    Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5899: Lufeng Li z Qihoo 360 Vulcan Team

  • PluginKit

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: złośliwie spreparowana aplikacja korporacyjna może zainstalować rozszerzenia, zanim zostanie uznana za zaufaną.

    Opis: wykryto błąd w procedurze walidacji rozszerzeń podczas instalacji. Ten problem rozwiązano przez poprawienie procedury weryfikowania aplikacji.

    Identyfikator CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei z FireEye, Inc.

  • removefile

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: przetworzenie złośliwie spreparowanych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.

    Opis: w procedurach dzielenia w funkcji checkint występował błąd przepełnienia. Ten problem rozwiązano przez poprawienie procedur dzielenia.

    Identyfikator CVE

    CVE-2015-5840: anonimowy badacz

  • SQLite

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: liczne luki w zabezpieczeniach oprogramowania SQLite 3.8.5.

    Opis: oprogramowanie SQLite w wersji 3.8.5 zawierało wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie oprogramowania SQLite do wersji 3.8.10.2.

    Identyfikator CVE

    CVE-2015-5895

  • tidy

    Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition

    Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.

    Opis: w komponencie Tidy występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedury obsługi pamięci.

    Identyfikator CVE

    CVE-2015-5522: Fernando Muñoz z NULLGroup.com

    CVE-2015-5523: Fernando Muñoz z NULLGroup.com

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: