关于 watchOS 2 的安全性内容

本文介绍了 watchOS 2 的安全性内容。

为保护我们的客户,在未进行详尽调查并推出必要的修补程序或发行版之前,Apple 不会公开、讨论或确认安全性问题。要了解有关 Apple 产品安全性的更多信息,请参阅“Apple 产品安全性”网站。

有关 Apple 产品安全性 PGP 密钥的信息,请参阅“如何使用 Apple 产品安全性 PGP 密钥”。

如果可能,请使用 CVE ID 来查阅漏洞的详细信息。

要了解有关其他安全性更新的信息,请参阅“Apple 安全性更新”。

watchOS 2

  • Apple Pay

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:进行支付时,有些卡片可能允许终端检索有限当前交易信息

    说明:交易记录功能在某些配置中被启用。此问题已通过移除交易记录功能得到解决。

    CVE-ID

    CVE-2015-5916

  • 音频

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:播放恶意音频文件可能会导致应用软件意外终止

    说明:处理音频文件时存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5862:Information Security Lab 的 YoungJin Yoon。(高级教授 Taekyoung Kwon),延世大学,韩国首尔

  • 证书信任策略

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:证书信任策略更新

    说明:更新了证书信任策略。可访问 https://support.apple.com/zh-cn/HT204873 查看证书的完整列表。

  • CFNetwork

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:拥有特权网络地位的攻击者可能会拦截 SSL/TLS 连接

    说明:当证书更改时,NSURL 中存在证书验证问题。此问题已通过改进证书验证得到解决。

    CVE-ID

    CVE-2015-5824:Omni Group 的 Timothy J. Wood

  • CFNetwork

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:连接到恶意 Web 代理可能会设置网站的恶意 Cookie

    说明:处理代理连接响应时存在问题。此问题已通过在解析连接响应的同时移除 set-cookie 标题得到解决。

    CVE-ID

    CVE-2015-5841:Tsinghua University Blue Lotus Team 的 Xiaofeng Zheng

  • CFNetwork

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:拥有特权网络地位的攻击者可能会跟踪用户的活动

    说明:处理顶级域时,存在跨域 Cookie 问题。此问题已通过改进 Cookie 创建限制得到解决。

    CVE-ID

    CVE-2015-5885:Tsinghua University Blue Lotus Team 的 Xiaofeng Zheng

  • CFNetwork

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:可直接访问 iOS 设备的人员可以从 Apple 应用读取缓存数据

    说明:缓存数据通过一个密钥加密,该密钥只受硬件 UID 保护。此问题已通过用受硬件 UID 和用户密码保护的密钥对缓存数据加密得到解决。

    CVE-ID

    CVE-2015-5898:NESO Security Labs 的 Andreas Kurtz

  • CoreCrypto

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:攻击者或许能够确定私人密钥

    说明:通过观察许多签名或解密尝试,攻击者有或许能够确定 RSA 私人密钥。此问题已通过使用改进的加密算法得到解决。

  • CoreText

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:处理恶意制作的字体文件可能会导致任意代码执行

    说明:在处理字体文件时存在内存损坏问题。此问题已通过改进输入验证得到解决。

    CVE-ID

    CVE-2015-5874:John Villamil (@day6reak),Yahoo Pentest Team

  • 数据探测器引擎

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:处理恶意制作的文本文件可能会导致任意代码执行

    说明:处理文本文件时存在内存损坏问题。这些问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2015-5829:Safeye Team (www.safeye.org) 的 M1x7e1

  • Dev Tools

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:dyld 中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5876:grayhash 的 beist

  • 磁盘映像

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户也许能以系统权限执行任意代码

    说明:DiskImages 中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5847La:Filippo Bigarella、Luca Todesco

  • dyld

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:应用软件或许能够绕开代码签名

    说明:验证可执行文件的代码签名时存在问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2015-5839:@PanguTeam、TaiG Jailbreak Team

  • GasGauge

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户可能会通过内核权限执行任意代码

    说明:内核中存在多个内存损坏问题。这些问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5918:Apple

    CVE-2015-5919:Apple

  • ICU

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:ICU 中存在多个漏洞

    说明:版本 53.1.0 之前的 ICU 版本中存在多个漏洞。这些问题已通过将 ICU 更新至版本 55.1 得到解决。

    CVE-ID

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:恶意应用软件或许能够确定内核内存布局

    说明:存在导致内核内存内容泄露的问题。此问题已通过改进边界检查得到解决。

    CVE-ID

    CVE-2015-5834:Alibaba Mobile Security Team 的 Cererdlong

  • IOAcceleratorFamily

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户也许能以系统权限执行任意代码

    说明:IOAcceleratorFamily 中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5848:Filippo Bigarella

  • IOKit

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:恶意应用软件或许能够以系统权限执行任意代码

    说明:内核中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5844:Filippo Bigarella

    CVE-2015-5845:Filippo Bigarella

    CVE-2015-5846:Filippo Bigarella

  • IOMobileFrameBuffer

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户也许能以系统权限执行任意代码

    说明:IOMobileFrameBuffer 中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5843:Filippo Bigarella

  • IOStorageFamily

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地攻击者或许能够读取内核内存

    说明:内核中存在内存初始化问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5863:IOActive 的 Ilja van Sprundel

  • 内核

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户可能会通过内核权限执行任意代码

    说明:内核中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5868:Alibaba Mobile Security Team 的 Cererdlong

    CVE-2015-5896:m00nbsd 的 Maxime Villard

    CVE-2015-5903:CESG

  • 内核

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地攻击者可能控制堆栈 Cookie 的值

    说明:在生成的用户空间堆栈 Cookie 中存在多个弱点。这已通过改进堆栈 Cookie 生成得到解决。

    CVE-ID

    CVE-2013-3951:Stefan Esser

  • 内核

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:某个本地进程可能在未经过授权检查的情况下修改其他进程

    说明:使用 processor_set_tasks API 的根进程被允许检查其他进程的任务端口时存在问题。此问题已通过添加授权检查得到解决。

    CVE-ID

    CVE-2015-5882:Pedro Vilaça,基于 Ming-chieh Pan 和 Sung-ting Tsai 的原创性研究;Jonathan Levin

  • 内核

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地 LAN 区段中的攻击者可停用 IPv6 路由

    说明:处理 IPv6 路由器通告时存在验证不足的问题,使攻击者能够将跃点限制设置为任意值。此问题已通过执行最小跃点限制得到解决。

    CVE-ID

    CVE-2015-5869:Dennis Spindel Ljungmark

  • 内核

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户也许能确定内核内存布局

    说明:XNU 中存在导致内核内存泄露的问题。此问题已通过改进内核内存结构初始化得到解决。

    CVE-ID

    CVE-2015-5842:grayhash 的 beist

  • 内核

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户可能会导致系统服务遭到拒绝

    说明:HFS 驱动器安装时存在问题。此问题已通过额外的验证检查得到解决。

    CVE-ID

    CVE-2015-5748:m00nbsd 的 Maxime Villard

  • libpthread

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:本地用户可能会通过内核权限执行任意代码

    说明:内核中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5899:Qihoo 360 Vulcan Team 的 Lufeng Li

  • PluginKit

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:恶意企业级应用软件可能在应用软件受信任之前安装扩展程序

    说明:在安装期间验证扩展程序时存在问题。此问题已通过改进应用验证得到解决。

    CVE-ID

    CVE-2015-5837:FireEye, Inc. 的 Zhaofeng Chen、Hui Xue 和 Tao (Lenx) Wei

  • removefile

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:处理恶意数据可能导致应用软件意外终止

    说明:在 checkint 除法例程中存在溢出故障。此问题已通过改进除法例程得到解决。

    CVE-ID

    CVE-2015-5840:一位匿名研究者

  • SQLite

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:SQLite v3.8.5 中存在多个漏洞

    说明:SQLite v3.8.5 中存在多个漏洞。这些问题已通过将 SQLite 更新为版本 3.8.10.2 得到解决。

    CVE-ID

    CVE-2015-5895

  • tidy

    适用于:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影响:访问恶意制作的网站可能会导致任意代码执行

    说明:Tidy 中存在内存损坏问题。此问题已通过改进内存处理得到解决。

    CVE-ID

    CVE-2015-5522:NULLGroup.com 的 Fernando Muñoz

    CVE-2015-5523:NULLGroup.com 的 Fernando Muñoz

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。互联网的使用具有一定风险。请联系供应商以了解其他信息。其他公司和产品名称可能是其各自所有公司的商标。

发布日期: