Om säkerhetsinnehåll i watchOS 2
I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 2.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.
Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i Apples säkerhetssläpp.
watchOS 2
Apple Pay
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Vissa kort kan tillåta att en terminal hämtar begränsad information om de senaste transaktionerna när kunden gör en betalning
Beskrivning: Transaktionsloggsfunktionen aktiverades i vissa konfigurationer. Problemet åtgärdades genom att ta bort funktionen för att logga transaktioner.
CVE-ID
CVE-2015-5916
Audio
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Att spela upp en skadlig ljudfil kan leda till ett oväntat appavslut
Beskrivning: Ett problem med minneskorruption fanns i hanteringen av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea
Certificate Trust Policy
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Certifikatets förtroendepolicy har uppdaterats. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/HT204873.
CFNetwork
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare med en behörig nätverksposition kan påverka SSL-/TLS-anslutningar
Beskrivning: Ett certifikatvalideringsproblem fanns i NSURL när ett certifikat ändrades. Problemet åtgärdades genom förbättrad certifikatvalidering.
CVE-ID
CVE-2015-5824: Timothy J. Wood på The Omni Group
CFNetwork
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Att ansluta till en skadlig webbproxy kan ställa in skadliga cookies för en webbplats
Beskrivning: Det fanns ett problem i hanteringen av proxyanslutningssvar. Problemet hanterades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare i en behörig nätverksposition kan spåra en användares aktivitet
Beskrivning: Ett problem med cookies över flera domäner fanns vid hanteringen av toppdomäner. Problemet hanterades genom förbättrade begränsningar för att skapa cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University
CFNetwork
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En person med fysisk tillgång till iOS-enheter kan läsa cachedata från Apple-appar
Beskrivning: Cachedata krypterades med en nyckel som endast skyddades av hårdvaru-UID. Problemet åtgärdades genom att kryptera cachedata med en nyckel som skyddas av både hårdvaru-UID och användarens lösenkod.
CVE-ID
CVE-2015-5898: Andreas Kurtz på NESO Security Labs
CoreCrypto
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare kanske kan fastställa en privat nyckel
Beskrivning: Genom att observera många signerings- eller dekrypteringsförsök kan en angripare ha kunnat fastställa den privata RSA-nyckeln. Problemet hanterades genom förbättrade krypteringsalgoritmer.
CoreText
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Bearbetning av en skadlig typsnittsfil kan leda till körning av opålitlig kod
Beskrivning: Det fanns ett problem med minneskorruption vid bearbetningen av typnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Bearbetning av en skadlig textfil kan leda till körning av opålitlig kod
Beskrivning: Det fanns problem med minneskorruption vid bearbetning av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-5829: M1x7e1 på Safeye Team (www.safeye.org)
Dev Tools
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En skadlig applikation kanske kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med minneskorruption fanns i dyld. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5876: Beist of grayhash
Disk Images
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kanske kan köra opålitlig kod med kernelbehörighet
Beskrivning: Ett problem med minneskorruption fanns i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En applikation kanske kan kringgå kodsignering
Beskrivning: En problem fanns med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kan kanske köra opålitlig kod med kernelbehörighet
Beskrivning: Beskrivning: Flera minnesfel förekom i en kernel. Dessa problem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919 : Apple
ICU
Tillgängligt förr: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Flera sårbarheter i ICU
Beskrivning: Flera sårbarheter fanns i ICU-versioner före 53.1.0. Dessa problem åtgärdades genom att uppdartera ICU till version 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand på Google Project Zero
IOAcceleratorFamily
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En skadlig app kanske kan ta reda på schemat för kernelminnet
Beskrivning: Ett fel förekom som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades med förbättrad kontroll av gränserna.
CVE-ID
CVE-2015-5834: Cererdlong på Alibaba Mobile Security Team
IOAcceleratorFamily
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kanske kan köra opålitlig kod med systembehörighet
Beskrivning: Ett problem med minneskorruption fanns i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En skadlig app kanske kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett problem med minneskorruption fanns i en kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobilFrameBuffer
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kanske kan köra opålitlig kod med systembehörigheter
Beskrivning: Ett problem med minneskorruption fanns i IOMobileFrameBuffer. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal angripare kanske kan läsa kernelminnet
Beskrivning: Ett fel med minnesinitialisering förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5863: Ilja van Sprundel of IOActive
Kernel
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kan kanske köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5868: Cererdlong från Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard på m00nbsd
CVE-2015-5903:CE
Kernel
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal angripare kan styra värdet för cookies i stacken
Beskrivning: Det förekom flera svagheter när cookies i stacken för användarutrymmet skulle genereras. Det hanterades genom förbättrad generering av cookies i stacken.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal process kan ändra andra processer utan behörighetskontroller
Beskrivning: Det fanns ett problem där rotprocesser som använder API:et processor_set_tasks tilläts hämta uppgiftsportarna för andra processer. Problemet har åtgärdats genom tillagda autentiseringskontroller.
CVE-ID
CVE-2015-5882: Pedro Vilaça, med hjälp av ursprunglig forskning av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin
Kernel
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare i ett lokalt LAN-segment kan inaktivera IPv6-routning
Beskrivning: Det förekom ett problem med otillräcklig validering i hanteringen av IPv6-routermeddelanden som gjorde att en angripare kunde ange gränsen för antal hopp till ett godtyckligt värde. Problemet hanterades genom att införa en gräns för minsta antal hopp.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kan ta reda på schemat för kernelminnet
Beskrivning: Det förekom ett problem i XNU som ledde till att kernelminne avslöjades. Det hanterades genom förbättrad initiering av kärnminnesstrukturer.
CVE-ID
CVE-2015-5842: Beist of grayhash
Kernel
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kan orsaka att tjänster nekas i systemet
Beskrivning: Det fanns ett problem med HFS-enhetsmontering. Det åtgärdades genom ytterligare valideringskontroller.
CVE-ID
CVE-2015-5748: Maxime Villard på m00nbsd
libpthread
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En lokal användare kan kanske köra opålitlig kod med kernelbehörighet
Beskrivning: Ett minnesfel förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team
PluginKit
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En skadlig företagsapp kan installera tillägg innan appen har blivit betrodd
Beskrivning: Ett problem fanns i valideringen av tillägg under installationen. Det hanterades genom förbättrad programverifiering.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.
removefile
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Bearbetning av skadliga data kan leda till oväntat appavslut
Beskrivning: Det förekom ett spillfel i rutinerna för checkint division. Problemet hanterades genom förbättrade rutiner för divisioner.
CVE-ID
CVE-2015-5840: En anonym forskare
SQLite
Tillgängligt förr: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Flera sårbarheter i SQLite v3.8.5
Beskrivning: Flera sårbarheter fanns i SQLite v3.8.5. Problemet åtgärdades genom att uppdatera SQLite till version 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Att besöka en skadlig webbplats kan leda till körning av opålitlig kod
Beskrivning: Ett problem med minneskorruption fanns i Tidy. Problemen åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-5522: Fernando Muñoz från NULLGroup.com
CVE-2015-5523: Fernando Muñoz från NULLGroup.com
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.