Om säkerhetsinnehållet i watchOS 2

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

watchOS 2

  • Apple Pay

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Vissa kort kan tillåta att en terminal hämtar begränsad information om de senaste transaktionerna när kunden gör en betalning

    Beskrivning: Transaktionsloggsfunktionen aktiverades i vissa konfigurationer. Problemet löstes genom borttagning av transaktionsloggsfunktionen.

    CVE-ID

    CVE-2015-5916

  • Ljud

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Uppspelning av en skadlig ljudfil kan leda till en oväntad programavslutning

    Beskrivning: Ett minnesfel förekom i hantering av ljudfiler. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon på Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University i Seoul, Korea

  • Certifierad förtroendepolicy

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Uppdatering av den certifierade förtroendepolicyn

    Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på https://support.apple.com/sv-se/HT204873.

  • CFNetwork

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL/TLS-anslutningar

    Beskrivning: Ett problem med godkännande av certifikat förekom i NSURL när ett certifikat ändrades. Problemet har åtgärdats genom förbättrad certifikatvalidering.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood på The Omni Group

  • CFNetwork

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Vid anslutning till en skadlig webbproxy kan skadliga cookies för en webbplats ställas in

    Beskrivning: Det förekom ett problem med hantering av svar vid proxyanslutning. Problemet åtgärdades genom att ta bort rubriken för inställning av cookies vid tolkning av anslutningssvaret.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare med en privilegierad nätverksposition kan spåra en användares aktivitet

    Beskrivning: Ett problem med cookies över flera domäner förekom i hanteringen av toppnivådomäner. Problemet åtgärdades genom införande av fler begränsningar för skapande av cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng på Blue Lotus Team, Tsinghua University

  • CFNetwork

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En person med fysisk åtkomst till en iOS-enhet kan läsa cachedata från Apples appar

    Beskrivning: Cachedata krypterades med en nyckel som enbart skyddades av maskinvaru-UID. Problemet åtgärdades genom att cachedata krypterades med en nyckel som skyddas både av maskinvaru-UID och användarens lösenkod.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz på NESO Security Labs

  • CoreCrypto

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare kan ta reda på en privat nyckel

    Beskrivning: Genom att observera ett flertal inloggnings- eller avkrypteringsförsök kan en angripare ta reda på den privata RSA-nyckeln. Problemet åtgärdades med hjälp av förbättrade krypteringsalgoritmer.

  • CoreText

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan ge upphov till körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom i bearbetningen av typsnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Bearbetning av en felaktigt utformad textfil kan ge upphov till körning av godtycklig kod

    Beskrivning: Minnesfel förekom i bearbetningen av textfiler. Dessa problem åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5829: M1x7e1 på Safeye Team (www.safeye.org)

  • Dev Tools

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minnesfel förekom i dyld. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5876: beist of grayhash

  • Skivavbilder

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minneskorruptionsfel förekom i DiskImages. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Det förekom ett problem med validering av kodsignaturen i körbara filer. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernel-privilegier

    Beskrivning: Flera minneskorruptionsproblem förekom i kärnan. Dessa problem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Flera sårbarheter i ICU

    Beskrivning: Flera sårbarheter fanns i ICU-versioner äldre än 53.1.0. De hanterades genom att ICU uppdaterades till version 55.1.

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan ta reda på layouten för kernelminnet

    Beskrivning: Ett fel förekom som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.

    CVE-ID

    CVE-2015-5834: Cererdlong på Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minneskorruptionsfel förekom i IOAcceleratorFamily. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minneskorruptionsproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med systembehörighet

    Beskrivning: Ett minneskorruptionsfel förekom i IOMobileFrameBuffer. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal angripare kan läsa kärnminne

    Beskrivning: Ett minnesinitieringsproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel på IOActive

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernel-privilegier

    Beskrivning: Ett minneskorruptionsproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5868: Cererdlong på Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard på m00nbsd

    CVE-2015-5903: CESG

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal angripare kan styra värdet för stackcookies

    Beskrivning: Det förekom flera sårbarheter vid generering av stackcookies i användarutrymmet. Problemet åtgärdades genom förbättrad generering av stackcookies.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal process kan modifiera andra processer utan behörighetskontroller

    Beskrivning: Det förekom ett problem där rotprocesser som använder processor_set_tasks API tillåts att hämta aktivitetsportar för andra processer. Problemet har åtgärdats genom förbättrade behörighetskontroller.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça med utgångspunkt från ursprunglig forskning utförd av Ming-chieh Pan och Sung-ting Tsai; Jonathan Levin

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En angripare ett lokalt LAN-segment kan inaktivera IPv6-routing

    Beskrivning: Det förekom ett problem med otillräcklig validering vid hantering av IPv6-routerannonseringar som gjorde att en angripare kunde ställa in hoppgränsen på ett godtyckligt värde. Problemet åtgärdades genom att en nedre hoppgräns infördes med tvång.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan ta reda på schemat för kärnminnet

    Beskrivning: Ett fel förekom i XNU som ledde till att kärnminne avslöjades. Problemet åtgärdades genom förbättrad initiering av kärnminnesstrukturerna.

    CVE-ID

    CVE-2015-5842: beist of grayhash

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

    Beskrivning: Ett problem förekom i HFS-enhetsmontering. Problemet åtgärdades genom ytterligare valideringskontroller.

    CVE-ID

    CVE-2015-5748: Maxime Villard på m00nbsd

  • libpthread

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernel-privilegier

    Beskrivning: Ett minneskorruptionsproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5899: Lufeng Li på Qihoo 360 Vulcan Team

  • PluginKit

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Ett skadligt företagsprogram kan installera tillägg innan programmet har blivit betrott

    Beskrivning: Ett problem förekom vid validering av tillägg under installation. Problemet åtgärdades genom förbättrad appverifiering.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue och Tao (Lenx) Wei på FireEye, Inc.

  • removefile

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Beskrivning: Bearbetning av skadliga data kan leda till oväntad programavslutning

    Beskrivning: Ett spillfel förekom i checkint division-rutinerna. Problemet åtgärdades genom förbättrade divisionsrutiner.

    CVE-ID

    CVE-2015-5840: en anonym person

  • SQLite

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Flera sårbarheter i SQLite 3.8.5

    Beskrivning: Flera sårbarheter förekom i SQLite 3.8.5. Dessa problem åtgärdades genom att uppdatera SQLite till version 3.8.10.2.

    CVE-ID

    CVE-2015-5895

  • tidy

    Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition

    Effekt: Besök på en webbplats med skadligt innehåll kan ge upphov till körning av godtycklig kod

    Beskrivning: Ett minneskorruptionsfel förekom i Tidy. Problemen åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz på NULLGroup.com

    CVE-2015-5523: Fernando Muñoz på NULLGroup.com

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: