Om säkerhetsinnehåll i watchOS 2

I det här dokumentet beskrivs säkerhetsinnehållet i watchOS 2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Mer information om Apples produktsäkerhet finns på webbplatsen för Apples Product Security.

Mer information om PGP-nyckeln från Apple Product Security finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i Apples säkerhetssläpp.

watchOS 2

  • Apple Pay

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Vissa kort kan tillåta att en terminal hämtar begränsad information om de senaste transaktionerna när kunden gör en betalning

    Beskrivning: Transaktionsloggsfunktionen aktiverades i vissa konfigurationer. Problemet åtgärdades genom att ta bort funktionen för att logga transaktioner.

    CVE-ID

    CVE-2015-5916

  • Audio

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Att spela upp en skadlig ljudfil kan leda till ett oväntat appavslut

    Beskrivning: Ett problem med minneskorruption fanns i hanteringen av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Sydkorea

  • Certificate Trust Policy

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Certifikatets förtroendepolicy har uppdaterats. Du kan läsa den fullständiga listan över certifikat på http://support.apple.com/HT204873.

  • CFNetwork

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare med en behörig nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: Ett certifikatvalideringsproblem fanns i NSURL när ett certifikat ändrades. Problemet åtgärdades genom förbättrad certifikatvalidering.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood på The Omni Group

  • CFNetwork

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Att ansluta till en skadlig webbproxy kan ställa in skadliga cookies för en webbplats

    Beskrivning: Det fanns ett problem i hanteringen av proxyanslutningssvar. Problemet hanterades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare i en behörig nätverksposition kan spåra en användares aktivitet

    Beskrivning: Ett problem med cookies över flera domäner fanns vid hanteringen av toppdomäner. Problemet hanterades genom förbättrade begränsningar för att skapa cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En person med fysisk tillgång till iOS-enheter kan läsa cachedata från Apple-appar

    Beskrivning: Cachedata krypterades med en nyckel som endast skyddades av hårdvaru-UID. Problemet åtgärdades genom att kryptera cachedata med en nyckel som skyddas av både hårdvaru-UID och användarens lösenkod.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz på NESO Security Labs

  • CoreCrypto

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare kanske kan fastställa en privat nyckel

    Beskrivning: Genom att observera många signerings- eller dekrypteringsförsök kan en angripare ha kunnat fastställa den privata RSA-nyckeln. Problemet hanterades genom förbättrade krypteringsalgoritmer.

  • CoreText

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Bearbetning av en skadlig typsnittsfil kan leda till körning av opålitlig kod

    Beskrivning: Det fanns ett problem med minneskorruption vid bearbetningen av typnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Bearbetning av en skadlig textfil kan leda till körning av opålitlig kod

    Beskrivning: Det fanns problem med minneskorruption vid bearbetning av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5829: M1x7e1 på Safeye Team (www.safeye.org)

  • Dev Tools

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En skadlig applikation kanske kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med minneskorruption fanns i dyld. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5876: Beist of grayhash

  • Disk Images

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kanske kan köra opålitlig kod med kernelbehörighet

    Beskrivning: Ett problem med minneskorruption fanns i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En applikation kanske kan kringgå kodsignering

    Beskrivning: En problem fanns med validering av kodsignaturen för körbara filer. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan kanske köra opålitlig kod med kernelbehörighet

    Beskrivning: Beskrivning: Flera minnesfel förekom i en kernel. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919 : Apple

  • ICU

    Tillgängligt förr: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Flera sårbarheter i ICU

    Beskrivning: Flera sårbarheter fanns i ICU-versioner före 53.1.0. Dessa problem åtgärdades genom att uppdartera ICU till version 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand på Google Project Zero

  • IOAcceleratorFamily

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En skadlig app kanske kan ta reda på schemat för kernelminnet

    Beskrivning: Ett fel förekom som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades med förbättrad kontroll av gränserna.

    CVE-ID

    CVE-2015-5834: Cererdlong på Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kanske kan köra opålitlig kod med systembehörighet

    Beskrivning: Ett problem med minneskorruption fanns i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En skadlig app kanske kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett problem med minneskorruption fanns i en kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobilFrameBuffer

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kanske kan köra opålitlig kod med systembehörigheter

    Beskrivning: Ett problem med minneskorruption fanns i IOMobileFrameBuffer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal angripare kanske kan läsa kernelminnet

    Beskrivning: Ett fel med minnesinitialisering förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel of IOActive

  • Kernel

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan kanske köra opålitlig kod med kernelbehörighet

    Beskrivning: Ett minnesfel förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5868: Cererdlong från Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard på m00nbsd

    CVE-2015-5903:CE

  • Kernel

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal angripare kan styra värdet för cookies i stacken

    Beskrivning: Det förekom flera svagheter när cookies i stacken för användarutrymmet skulle genereras. Det hanterades genom förbättrad generering av cookies i stacken.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal process kan ändra andra processer utan behörighetskontroller

    Beskrivning: Det fanns ett problem där rotprocesser som använder API:et processor_set_tasks tilläts hämta uppgiftsportarna för andra processer. Problemet har åtgärdats genom tillagda autentiseringskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, med hjälp av ursprunglig forskning av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin

  • Kernel

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare i ett lokalt LAN-segment kan inaktivera IPv6-routning

    Beskrivning: Det förekom ett problem med otillräcklig validering i hanteringen av IPv6-routermeddelanden som gjorde att en angripare kunde ange gränsen för antal hopp till ett godtyckligt värde. Problemet hanterades genom att införa en gräns för minsta antal hopp.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan ta reda på schemat för kernelminnet

    Beskrivning: Det förekom ett problem i XNU som ledde till att kernelminne avslöjades. Det hanterades genom förbättrad initiering av kärnminnesstrukturer.

    CVE-ID

    CVE-2015-5842: Beist of grayhash

  • Kernel

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

    Beskrivning: Det fanns ett problem med HFS-enhetsmontering. Det åtgärdades genom ytterligare valideringskontroller.

    CVE-ID

    CVE-2015-5748: Maxime Villard på m00nbsd

  • libpthread

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan kanske köra opålitlig kod med kernelbehörighet

    Beskrivning: Ett minnesfel förekom i en kernel. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team

  • PluginKit

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En skadlig företagsapp kan installera tillägg innan appen har blivit betrodd

    Beskrivning: Ett problem fanns i valideringen av tillägg under installationen. Det hanterades genom förbättrad programverifiering.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.

  • removefile

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Bearbetning av skadliga data kan leda till oväntat appavslut

    Beskrivning: Det förekom ett spillfel i rutinerna för checkint division. Problemet hanterades genom förbättrade rutiner för divisioner.

    CVE-ID

    CVE-2015-5840: En anonym forskare

  • SQLite

    Tillgängligt förr: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Flera sårbarheter i SQLite v3.8.5

    Beskrivning: Flera sårbarheter fanns i SQLite v3.8.5. Problemet åtgärdades genom att uppdatera SQLite till version 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Tillgängligt för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Att besöka en skadlig webbplats kan leda till körning av opålitlig kod

    Beskrivning: Ett problem med minneskorruption fanns i Tidy. Problemen åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz från NULLGroup.com

    CVE-2015-5523: Fernando Muñoz från NULLGroup.com

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: