Om säkerhetsinnehållet i watchOS 2.2

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 2.2.

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.

Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.

Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.

Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.

watchOS 2.2

  • Skivavbilder

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Ett minnesfel förekom i tolkning av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1717: Frank Graziano på Yahoo! Pentest Team

  • FontParser

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till oväntad programavslutning eller godtycklig kodkörning

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1740 : HappilyCoded (ant4g0nist och r3dsm0k3) i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • HTTPProtocol

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Problem: En angripare kan lyckas köra godtycklig kod

    Beskrivning: Flera sårbarheter förekom i nghttp2-versioner innan 1.6.0, av vilka den allvarligaste kan leda till fjärrkörning av kod. Dessa åtgärdades genom att nghttp2 uppdaterades till 1.6.0.

    CVE-ID

    CVE-2015-8659

  • IOHIDFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1719: Ian Beer på Google Project Zero

  • IOHIDFamily

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan ta reda på layouten för kärnminnet

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1748: Brandon Azad

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1720: Ian Beer på Google Project Zero

    CVE-2016-1721: Ian Beer på Google Project Zero och Ju Zhu på Trend Micro

    CVE-2016-1754: Lufeng Li på Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer på Google Project Zero

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1750: CESG

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Flera heltalsspill åtgärdades genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1753 : Juwei Lin, Trend Micro, i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan kringgå kodsignering

    Beskrivning: Det förekom ett behörighetsproblem som ledde till att körningsbehörighet felaktigt beviljades. Problemet har åtgärdats genom förbättrad behörighetsvalidering.

    CVE-ID

    CVE-2016-1751: Eric Monti på Square Mobile Security

  • Kärna

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan orsaka att tjänster nekas

    Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad validering.

    CVE-ID

    CVE-2016-1752: CESG

  • libxml2

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-1819

    CVE-2015-5312: David Drysdale på Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany på Google

    CVE-2015-7942: Kostya Serebryany på Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff i samarbete med Trend Micros Zero Day Initiative (ZDI)

    CVE-2016-1762

  • libxslt

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning

    Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2015-7995: puzzor 

  • Meddelanden

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: En angripare som klarar av att gå förbi Apples certifikatpinning, fånga upp TLS-anslutningar, mata in meddelanden och registrera krypterade meddelanden av bilagetyp kan ha förmåga att läsa bilagor.

    Beskrivning: Ett kryptografiskt problem åtgärdades genom att dubblerade meddelanden nekas på klienten.

    CVE-ID

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers, och Michael Rushanan på Johns Hopkins University

  • Säkerhet

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Bearbetning av ett felaktigt utformat certifikat kan ge upphov till körning av godtycklig kod

    Beskrivning: Ett minnesfel förekom i ASN.1-avkodaren. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1950 : Francis Gabriel på Quarkslab

  • syslog

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Ett program kan köra godtycklig kod med kärnprivilegier

    Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1722: Joshua J. Drake och Nikias Bassen på Zimperium zLabs

  • TrueTypeScaler

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till godtycklig kodkörning.

    Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.

    CVE-ID

    CVE-2016-1775: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI)

  • WebKit

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: Bearbetning av skadligt webbinnehåll kan leda till godtycklig kodkörning

    Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

    CVE-ID

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • Wi-Fi

    Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

    Effekt: En angripare med en privilegierad nätverksposition kan orsaka godtycklig kodkörning

    Beskrivning: Ett ramvaliderings- och minnesproblem förekom för en given ethertype. Problemet åtgärdades genom ytterligare ethertype-validering och förbättrad minneshantering.

    CVE-ID

    CVE-2016-0801: En anonym forskare

    CVE-2016-0802: En anonym forskare

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Det finns konkreta risker med att använda internet. Kontakta leverantören om du vill veta mer. Andra företags- och produktnamn kan vara varumärken som tillhör respektive ägare.

Publiceringsdatum: