Om säkerhetsinnehållet i Watch OS 1.0.1

I det här dokumentet beskrivs säkerhetsinnehållet i Watch OS 1.0.1.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

Watch OS 1.0.1

  • Certifierad förtroendepolicy

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på https://support.apple.com/kb/HT204873?viewlocale=sv_SE

  • FontParser

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till opålitlig kodexekvering.

    Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-1093: Marc Schoenefeld

  • Grund

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett program som använder NSXMLParser kan användas felaktigt för att avslöja information

    Beskrivning: Ett problem med XML External Entity förekom i hanteringen av XML i NSXMLParser. Problemet åtgärdades genom att inte läsa in externa entiteter mellan olika ursprung.

    CVE-ID

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett fel förekom i IOHIDFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-1096: Ilja van Sprundel på IOActive

  • IOAcceleratorFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

    Beskrivning: Ett problem förekom i IOAcceleratorFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom att ta bort onödig kod.

    CVE-ID

    CVE-2015-1094: Cererdlong på Alibaba Mobile Security Team

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan orsaka att tjänster avbryts i systemet

    Beskrivning: Ett race-tillstånd förekom i kärnans setreuid-systemanrop. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-1099: Mark Mentovai på Google Inc.

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare med en priviligierad nätverksposition kan dirigera om användartrafik till godtyckliga värdar

    Beskrivning: ICMP-omdirigeringar var aktiverade som standard. Problemet åtgärdades genom avaktivering av ICMP-omdirigeringar.

    CVE-ID

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En fjärrangripare kan orsaka att tjänsten avbryts

    Beskrivning: Ett lägesinkonsekvensproblem förekom i hanteringen av TCP out of band-data. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-1105: Kenton Varda på Sandstorm.io

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan eskalera behörigheter med en komprometterad tjänst som är avsedd att köras med begränsad behörighet

    Beskrivning: setreuid- och setregid-systemanropen kunde inte släppa behörigheter permanent. Det här problemet korrigerades genom att behörigheterna släpptes korrekt.

    CVE-ID

    CVE-2015-1117: Mark Mentovai på Google Inc.

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En fjärrangripare kan komma förbi nätverksfilter

    Beskrivning: Systemet behandlade vissa IPv6-paket från fjärranslutna nätverksgränssnitt som lokala paket. Problemet åtgärdades genom att dessa paket avvisades.

    CVE-ID

    CVE-2015-1104: Stephen Roettger på Google Security Team

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänsten avbryts

    Beskrivning: En lägesinkonsekvens förekom i bearbetningen av TCP-rubriker. Problemet åtgärdades genom förbättrad tillståndshantering.

    CVE-ID

    CVE-2015-1102: Andrey Khudyakov och Maxim Zhuravlev på Kaspersky Lab

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan leda till oväntad systemavstängning eller läsning av kärnans minne

    Beskrivning: Ett out of bounds-minnesåtkomstproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1100: Maxime Villard på m00nbsd

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1101: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative

  • Secure Transport

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar

    Beskrivning: Secure Transport accepterade korta flyktiga RSA-nycklar, som vanligtvis endast används i RSA-chiffersviter med exportstyrka, via anslutningar som använder RSA-chiffersviter med full styrka. Detta problem, som även kallas för FREAK, påverkade endast anslutningar till servrar med stöd för RSA-chiffersviter med exportstyrka. Det åtgärdades genom att stöd för flyktiga RSA-nycklar togs bort.

    CVE-ID

    CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti och Jean Karim Zinzindohoue från Prosecco på Inria Paris

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: