Om säkerhetsinnehållet i watchOS 2.2
Det här dokumentet beskriver säkerhetsinnehållet i watchOS 2.2.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apples produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om andra säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
watchOS 2.2
Skivavbilder
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Ett minnesfel förekom i tolkning av skivavbilder. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1717: Frank Graziano på Yahoo! Pentest Team
FontParser
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Öppnande av en uppsåtligt skadlig PDF-fil kan leda till oväntad programavslutning eller godtycklig kodkörning
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1740 : HappilyCoded (ant4g0nist och r3dsm0k3) i samarbete med Trend Micros Zero Day Initiative (ZDI)
HTTPProtocol
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Problem: En angripare kan lyckas köra godtycklig kod
Beskrivning: Flera sårbarheter förekom i nghttp2-versioner innan 1.6.0, av vilka den allvarligaste kan leda till fjärrkörning av kod. Dessa åtgärdades genom att nghttp2 uppdaterades till 1.6.0.
CVE-ID
CVE-2015-8659
IOHIDFamily
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1719: Ian Beer på Google Project Zero
IOHIDFamily
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan ta reda på layouten för kärnminnet
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1748: Brandon Azad
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1720: Ian Beer på Google Project Zero
CVE-2016-1721: Ian Beer på Google Project Zero och Ju Zhu på Trend Micro
CVE-2016-1754: Lufeng Li på Qihoo 360 Vulcan Team
CVE-2016-1755: Ian Beer på Google Project Zero
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Ett problem med användning av tidigare använt minne åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1750: CESG
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Flera heltalsspill åtgärdades genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1753 : Juwei Lin, Trend Micro, i samarbete med Trend Micros Zero Day Initiative (ZDI)
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan kringgå kodsignering
Beskrivning: Det förekom ett behörighetsproblem som ledde till att körningsbehörighet felaktigt beviljades. Problemet har åtgärdats genom förbättrad behörighetsvalidering.
CVE-ID
CVE-2016-1751: Eric Monti på Square Mobile Security
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan orsaka att tjänster nekas
Beskrivning: Ett problem med tjänster som nekades åtgärdades genom förbättrad validering.
CVE-ID
CVE-2016-1752: CESG
libxml2
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1819
CVE-2015-5312: David Drysdale på Google
CVE-2015-7499
CVE-2015-7500: Kostya Serebryany på Google
CVE-2015-7942: Kostya Serebryany på Google
CVE-2015-8035: gustavo.grieco
CVE-2015-8242: Hugh Davenport
CVE-2016-1761: wol0xff i samarbete med Trend Micros Zero Day Initiative (ZDI)
CVE-2016-1762
libxslt
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Bearbetning av uppsåtligt skapad XML kan leda till oväntad programavslutning eller godtycklig kodkörning
Beskrivning: Ett problem med sammanblandning av typer åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-7995: puzzor
Meddelanden
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: En angripare som klarar av att gå förbi Apples certifikatpinning, fånga upp TLS-anslutningar, mata in meddelanden och registrera krypterade meddelanden av bilagetyp kan ha förmåga att läsa bilagor.
Beskrivning: Ett kryptografiskt problem åtgärdades genom att dubblerade meddelanden nekas på klienten.
CVE-ID
CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers, och Michael Rushanan på Johns Hopkins University
Säkerhet
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Bearbetning av ett felaktigt utformat certifikat kan ge upphov till körning av godtycklig kod
Beskrivning: Ett minnesfel förekom i ASN.1-avkodaren. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1950 : Francis Gabriel på Quarkslab
syslog
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Ett program kan köra godtycklig kod med kärnprivilegier
Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1722: Joshua J. Drake och Nikias Bassen på Zimperium zLabs
TrueTypeScaler
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till godtycklig kodkörning.
Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet har åtgärdats genom förbättrad indatavalidering.
CVE-ID
CVE-2016-1775: 0x1byte i samarbete med Trend Micros Zero Day Initiative (ZDI)
WebKit
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: Bearbetning av skadligt webbinnehåll kan leda till godtycklig kodkörning
Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2016-1723: Apple
CVE-2016-1724: Apple
CVE-2016-1725: Apple
CVE-2016-1726: Apple
CVE-2016-1727: Apple
Wi-Fi
Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès
Effekt: En angripare med en privilegierad nätverksposition kan orsaka godtycklig kodkörning
Beskrivning: Ett ramvaliderings- och minnesproblem förekom för en given ethertype. Problemet åtgärdades genom ytterligare ethertype-validering och förbättrad minneshantering.
CVE-ID
CVE-2016-0801: En anonym forskare
CVE-2016-0802: En anonym forskare
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.