Om säkerhetsinnehållet i watchOS 2.2.2

Det här dokumentet beskriver säkerhetsinnehållet i watchOS 2.2.2.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet. Du kan kryptera kommunikation med Apple genom att använda en PGP-nyckel från Apple Product Security.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

watchOS 2.2.2

CoreGraphics

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4637: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: En fjärrangripare kan orsaka att åtkomsten till tjänsten nekas

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2016-4632: Evgeny Sidorov på Yandex

ImageIO

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: En fjärrangripare kan köra godtycklig kod

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-4631: Tyler Bohan på Cisco Talos (talosintel.com/vulnerability-reports)

ImageIO

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Bearbetning av en bildfil med skadligt innehåll kan ge upphov till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-7705: Craig Young på Tripwire VERT

IOAcceleratorFamily

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad validering.

CVE-2016-4627: Ju Zhu på Trend Micro

IOAcceleratorFamily

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: En lokal användare kan läsa kernelminne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad kontroll av gränserna.

CVE-2016-4628: Ju Zhu på Trend Micro

IOHIDFamily

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-4626: Stefan Esser på SektionEins

IOHIDFamily

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Ett program kan köra godtycklig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2016-4650: Peter Pi på Trend Micro i samarbete med HP:s Zero Day Initiative

Kernel

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Det kan hända att en lokal användare kan köra godtycklig kod med kernelprivilegier

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-1863: Ian Beer på Google Project Zero

CVE-2016-4653: Ju Zhu på Trend Micro

CVE-2016-4582: Shrek_wzw och Proteas på Qihoo 360 Nirvan Team

Kernel

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: En lokal användare kan orsaka att tjänster nekas i systemet

Beskrivning: En nullpekarreferens åtgärdades genom förbättrad indatavalidering.

CVE-2016-1865: CESG, Marco Grassi (@marcograss) på KeenLab (@keen_lab), Tencent

Libc

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Buffertspill förekom i funktionen ”link_ntoa()” i linkaddr.c. Detta problem åtgärdades genom ytterligare gränskontroll.

CVE-2016-6559: Apple

libxml2

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Flera sårbarheter i libxml2

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2015-8317: Hanno Boeck

CVE-2016-1836: Wei Lei och Liu Yang på Nanyang Technological University

CVE-2016-4447: Wei Lei och Liu Yang på Nanyang Technological University

CVE-2016-4448: Apple

CVE-2016-4483: Gustavo Grieco

CVE-2016-4614: Nick Wellnhofer

CVE-2016-4615: Nick Wellnhofer

CVE-2016-4616: Michael Paddon

libxml2

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Tolkning av ett skadligt XML-dokument kan leda till att användarinformation avslöjas

Beskrivning: Ett åtkomstproblem förekom i tolkningen av skadliga XML-filer. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2016-4449: Kostya Serebryany

libxslt

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Flera sårbarheter i libxslt

Beskrivning: Flera minnesproblem åtgärdades genom förbättrad minneshantering.

CVE-2016-1683: Nicolas Grégoire

CVE-2016-1684: Nicolas Grégoire

CVE-2016-4607: Nick Wellnhofer

CVE-2016-4608: Nicolas Grégoire

CVE-2016-4609: Nick Wellnhofer

CVE-2016-4610: Nick Wellnhofer

Sandlådeprofiler

Tillgänglig för: Apple Watch Sport, Apple Watch, Apple Watch Edition och Apple Watch Hermès

Effekt: Ett lokalt program kan få åtkomst till processlistan

Beskrivning: Det förekom ett åtkomstproblem med privilegierade API-samtal. Problemet åtgärdades med ytterligare begränsningar.

CVE-2016-4594: Stefan Esser på SektionEins