W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
watchOS 2.0.1
Apple Pay
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: niektóre karty mogą pozwalać terminalowi na pobieranie ograniczonych informacji o ostatnich transakcjach podczas realizowania transakcji.
Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji. To uaktualnienie rozwiązuje też omawiany problem w przypadku zegarków Apple Watch wyprodukowanych z systemem watchOS 2.
Identyfikator CVE
CVE-2015-5916
Bom
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: procedura obsługi archiwów CPIO zawierała błąd w mechanizmie przechodzenia przez plik. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2015-7006: Mark Dowd z firmy Azimuth Security
configd
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: biblioteka klienta DNS zawierała błąd powodujący przepełnienie bufora sterty. Użytkownik lokalny dysponujący możliwością podszycia się pod odpowiedzi lokalnej usługi configd może wykonać dowolny kod na klientach DNS.
Identyfikator CVE
CVE-2015-7015: PanguTeam
CoreGraphics
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: w narzędziu CoreGraphics występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5925: Apple
CVE-2015-5926: Apple
FontParser
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: wyświetlanie dokumentu ze specjalnie spreparowaną czcionką może spowodować wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5927: Apple
CVE-2015-5942
Grand Central Dispatch
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi wywołań wysyłki występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-6989: Apple
ImageIO
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze analizowania metadanych obrazów występował wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu walidacji metadanych.
Identyfikator CVE
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOAcceleratorFamily występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-6996: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
mDNSResponder
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze analizowania danych DNS występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-7987: Alexandre Helie