Zawartość związana z zabezpieczeniami w systemie watchOS 2.0.1
Ten dokument zawiera informacje o zawartości związanej z zabezpieczeniami w systemie watchOS 2.0.1.
W celu ochrony swoich klientów firma Apple nie ujawnia, nie omawia ani nie potwierdza problemów dotyczących zabezpieczeń przed ich pełnym zbadaniem i udostępnieniem wszelkich niezbędnych poprawek lub wersji oprogramowania. Więcej informacji o bezpieczeństwie produktów firmy Apple można znaleźć w witrynie Bezpieczeństwo produktów firmy Apple.
Informacje o kluczu PGP serwisu Bezpieczeństwo produktów firmy Apple zawiera artykuł Używanie klucza PGP serwisu Bezpieczeństwo produktów firmy Apple.
Tam, gdzie jest to możliwe, w odniesieniu do luk w zabezpieczeniach są używane identyfikatory CVE, aby ułatwić uzyskanie dalszych informacji.
Informacje o innych uaktualnieniach zabezpieczeń zawiera artykuł Uaktualnienia zabezpieczeń firmy Apple.
watchOS 2.0.1
Apple Pay
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: niektóre karty mogą pozwalać terminalowi na pobieranie ograniczonych informacji o ostatnich transakcjach podczas realizowania transakcji.
Opis: funkcja dziennika transakcji była włączona w niektórych konfiguracjach. Ten problem rozwiązano przez usunięcie funkcji dziennika transakcji. To uaktualnienie rozwiązuje też omawiany problem w przypadku zegarków Apple Watch wyprodukowanych z systemem watchOS 2.
Identyfikator CVE
CVE-2015-5916
Bom
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: rozpakowanie złośliwie spreparowanego archiwum może doprowadzić do wykonania dowolnego kodu.
Opis: procedura obsługi archiwów CPIO zawierała błąd w mechanizmie przechodzenia przez plik. Ten problem rozwiązano przez poprawienie procedury sprawdzania metadanych.
Identyfikator CVE
CVE-2015-7006: Mark Dowd z firmy Azimuth Security
configd
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwa aplikacja może podwyższyć poziom uprawnień.
Opis: biblioteka klienta DNS zawierała błąd powodujący przepełnienie bufora sterty. Użytkownik lokalny dysponujący możliwością podszycia się pod odpowiedzi lokalnej usługi configd może wykonać dowolny kod na klientach DNS.
Identyfikator CVE
CVE-2015-7015: PanguTeam
CoreGraphics
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: w narzędziu CoreGraphics występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-5925: Apple
CVE-2015-5926: Apple
FontParser
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: wyświetlanie dokumentu ze specjalnie spreparowaną czcionką może spowodować wykonanie dowolnego kodu.
Opis: w procedurze obsługi plików czcionek występuje wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-5927: Apple
CVE-2015-5942
Grand Central Dispatch
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: przetworzenie złośliwie spreparowanego pakietu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze obsługi wywołań wysyłki występował błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-6989: Apple
ImageIO
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: wyświetlenie złośliwie spreparowanego pliku obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: w procedurze analizowania metadanych obrazów występował wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu walidacji metadanych.
Identyfikator CVE
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami systemowymi.
Opis: w komponencie IOAcceleratorFamily występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-6996: Ian Beer z Google Project Zero
IOHIDFamily
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: w jądrze występuje błąd powodujący uszkodzenie zawartości pamięci. Ten problem rozwiązano przez poprawienie procedur obsługi pamięci.
Identyfikator CVE
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
mDNSResponder
Dostępne dla: zegarków Apple Watch Sport, Apple Watch, Apple Watch Edition i Apple Watch Hermes
Zagrożenie: zdalny atakujący może spowodować nieoczekiwane zakończenie działania aplikacji lub wykonanie dowolnego kodu.
Opis: w procedurze analizowania danych DNS występowało wiele błędów powodujących uszkodzenie zawartości pamięci. Te problemy rozwiązano przez poprawienie mechanizmu sprawdzania ograniczeń.
Identyfikator CVE
CVE-2015-7987: Alexandre Helie
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.