Zawartość związana z zabezpieczeniami w systemie watchOS 2
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 2.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów Apple można znaleźć na tej stronie
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple
watchOS 2
Apple Pay
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przy dokonywaniu płatności niektóre karty pozwalają terminalowi na pobranie pewnych informacji na temat ostatniej transakcji.
Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji.
Identyfikator CVE
CVE-2015-5916
Audio
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: odtworzenie złośliwie spreparowanego pliku audio może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w procedurze obsługi plików audio występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5862: YoungJin Yoon of Information Security Lab (pod kierunkiem:prof. Taekyoung Kwon), Yonsei University, Seul, Korea
Certificate Trust Policy
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: uaktualnienie zasad dotyczących zaufania dla certyfikatów.
Opis: uaktualniono zasady dotyczące zaufania dla certyfikatów. Pełną listę certyfikatów można zobaczyć na stronie https://support.apple.com/HT204873.
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może przechwycić połączenia SSL/TLS.
Opis: w obiekcie NSURL występował problem ze sprawdzaniem poprawności certyfikatów, gdy certyfikat ulegał zmianie. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności certyfikatów.
Identyfikator CVE
CVE-2015-5824: Timothy J. Wood z The Omni Group
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: nawiązanie połączenia ze złośliwym internetowym serwerem proxy może skutkować ustawieniem dla witryny złośliwie spreparowanych plików cookie.
Opis: wykryto błąd w procedurze obsługi odpowiedzi na żądania połączenia z serwerem proxy. Ten problem rozwiązano przez usunięcie nagłówka ustawiania pliku cookie podczas analizowania odpowiedzi na połączenie.
Identyfikator CVE
CVE-2015-5841: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba atakująca z uprzywilejowanym dostępem do sieci może śledzić aktywność użytkownika.
Opis: w procedurze obsługi domen najwyższego poziomu występował problem z międzydomenowymi plikami cookie. Ten problem rozwiązano przez poprawienie ograniczeń podczas tworzenia plików cookie.
Identyfikator CVE
CVE-2015-5885: Xiaofeng Zheng z Blue Lotus Team na Uniwersytecie Tsinghua
CFNetwork
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba mająca fizyczny dostęp do urządzenia z systemem iOS może odczytać dane przechowywane przez aplikacje firmy Apple w pamięci podręcznej.
Opis: dane w pamięci podręcznej były szyfrowane przy użyciu klucza chronionego jedynie sprzętowym identyfikatorem UID. Ten problem rozwiązano przez zaszyfrowanie danych bufora przy użyciu klucza chronionego identyfikatorem UID sprzętu oraz kodem użytkownika.
Identyfikator CVE
CVE-2015-5898: Andreas Kurtz z NESO Security Labs
CoreCrypto
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba atakująca może być w stanie ustalić klucz prywatny.
Opis: obserwacja wielu prób podpisania lub odszyfrowania mogła pozwolić osobie atakującej ustalić prywatny klucz RSA. Ten problem rozwiązano przez użycie udoskonalonych algorytmów szyfrowania.
CoreText
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanego pliku czcionki może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików czcionek występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedury walidacji danych wejściowych.
Identyfikator CVE
CVE-2015-5874: John Villamil (@day6reak) z Yahoo Pentest Team
Data Detectors Engine
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanego pliku tekstowego może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze przetwarzania plików tekstowych występowały błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5829: M1x7e1 z Safeye Team (www.safeye.org)
Dev Tools
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie dyld występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5876: beist z grayhash
Disk Images
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie DiskImages występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: aplikacja może być w stanie obejść podpisywanie kodu.
Opis: wykryto błąd w procedurze sprawdzania poprawności podpisu kodu w plikach wykonywalnych. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5839: @PanguTeam, zespół TaiG Jailbreak
GasGauge
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występowały różne błędy powodujące uszkodzenie zawartości pamięci. Te błędy naprawiono przez poprawienie obsługi pamięci.
Identyfikator CVE
CVE-2015-5918: firma Apple
CVE-2015-5919: firma Apple
ICU
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: wiele luk w zabezpieczeniach biblioteki ICU.
Opis: biblioteka ICU w wersji starszej niż 53.1.0 zawierała wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie biblioteki ICU do wersji 55.1.
Identyfikator CVE
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand z Google Project Zero
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja mogła być w stanie określić rozkład pamięci jądra.
Opis: wykryto błąd, który powodował ujawnienie zawartości pamięci jądra. Ten błąd naprawiono przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5834: Cererdlong z Alibaba Mobile Security Team
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOAcceleratorFamily występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5848: Filippo Bigarella
IOKit
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOMobileFrameBuffer występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: lokalny atakujący może być w stanie odczytać dane z pamięci jądra.
Opis: w jądrze występował błąd inicjalizacji pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5863: Ilja van Sprundel z IOActive
Kernel
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5868: Cererdlong z Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard z m00nbsd
CVE-2015-5903: CESG
Kernel
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: lokalny atakujący może kontrolować wartość plików cookie ze stosu.
Opis: wykryto wiele słabych punktów w procedurze generowania plików cookie w stosie w przestrzeni użytkownika. Ten problem rozwiązano przez ulepszenie procedur generowania plików cookie stosu.
Identyfikator CVE
CVE-2013-3951: Stefan Esser
Kernel
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: proces lokalny może modyfikować inne procesy bez sprawdzania uprawnień.
Opis: wykryto błąd, w wyniku którego procesy główne (root) mogły sprawdzić porty zadań innych procesów, korzystając z interfejsu API „processor_set_tasks”. Ten błąd rozwiązano przez dodanie procedur sprawdzania uprawnień.
Identyfikator CVE
CVE-2015-5882: Pedro Vilaça w oparciu o badania Ming-chieh Pana i Sung-ting Tsai; Jonathan Levin
Kernel
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: osoba atakująca w lokalnym segmencie sieci LAN może wyłączyć routing IPv6.
Opis: w procedurze obsługi anonsów routerów IPv6 występował błąd niedostatecznej walidacji, który pozwalał osobie atakującej na ustawienie dowolnej wartości dla limitu przeskoków. Ten problem rozwiązano przez wymuszenie minimalnego limitu przeskoków.
Identyfikator CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja mogła być w stanie określić rozkład pamięci jądra.
Opis: w komponencie XNU występował błąd, który powodował ujawnienie zawartości pamięci jądra. Ten błąd rozwiązano przez poprawienie procedury inicjowania struktur pamięci jądra.
Identyfikator CVE
CVE-2015-5842: beist z grayhash
Kernel
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie spowodować atak typu „odmowa usługi”.
Opis: wykryto błąd w procedurze montowania dysków HFS. Ten błąd rozwiązano przez wprowadzenie dodatkowych procedur sprawdzania poprawności.
Identyfikator CVE
CVE-2015-5748: Maxime Villard z m00nbsd
libpthread
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: użytkownik lokalny może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występował błąd powodujący uszkodzenie zawartości pamięci. Ten błąd naprawiono przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5899: Lufeng Li z grupy Qihoo 360 Vulcan Team
PluginKit
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: złośliwie spreparowana aplikacja korporacyjna może zainstalować rozszerzenia, zanim zostanie uznana za zaufaną.
Opis: wykryto błąd w procedurze walidacji rozszerzeń podczas instalacji. Ten błąd rozwiązano przez wprowadzenie ulepszonej weryfikacji aplikacji.
Identyfikator CVE
CVE-2015-5837: Zhaofeng Chen, Hui Xue i Tao (Lenx) Wei z firmy FireEye, Inc.
removefile
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: przetworzenie złośliwie spreparowanych danych może doprowadzić do nieoczekiwanego zamknięcia aplikacji.
Opis: w procedurach dzielenia w funkcji checkint występował błąd przepełnienia. Ten błąd rozwiązano przez poprawienie procedur dzielenia.
Identyfikator CVE
CVE-2015-5840: anonimowy badacz
SQLite
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: liczne luki w zabezpieczeniach oprogramowania SQLite 3.8.5.
Opis: oprogramowanie SQLite w wersji 3.8.5 zawierało wiele luk w zabezpieczeniach. Zostały one usunięte przez uaktualnienie oprogramowania SQLite do wersji 3.8.10.2.
Identyfikator CVE
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Dostępne dla: zegarków Apple Watch Sport, Apple Watch i Apple Watch Edition
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może doprowadzić do wykonania dowolnego kodu.
Opis: w komponencie Tidy występował błąd powodujący uszkodzenie zawartości pamięci. Te błędy rozwiązano przez poprawienie procedury obsługi pamięci.
Identyfikator CVE
CVE-2015-5522: Fernando Muñoz z NULLGroup.com
CVE-2015-5523: Fernando Muñoz z NULLGroup.com
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.