關於 watchOS 2 的安全性內容

本文說明 watchOS 2 的安全性內容。

為保障客戶的安全,在進行完整調查並提供所有必要的修補程式或版本之前,Apple 不會揭露、討論或確認安全性問題。若要進一步了解 Apple 產品安全性,請參閱 Apple 產品安全性網站。

如需 Apple 產品安全性 PGP 金鑰的相關資訊,請參閱「如何使用 Apple 產品安全性 PGP 金鑰」。

如有可能,CVE ID 會用來參考安全漏洞,以取得進一步資訊。

若要了解其他安全性更新,請參閱 Apple 安全性更新

watchOS 2

  • Apple Pay

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:在付款時,某些卡片可能會允許終端機擷取有限的最近交易資訊

    說明:特定配置中啟用了交易記錄功能。移除交易記錄功能後,已解決此問題。

    CVE-ID

    CVE-2015-5916

  • Audio

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:播放惡意音訊檔案可能會導致應用程式意外終止

    說明:處理音訊檔案時,出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5862 :韓國首爾延世大學(Yonsei University)資訊安全實驗室的(指導:Taekyoung Kwon 教授)的 YoungJin Yoon

  • Certificate Trust Policy

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:更新憑證信任規則

    說明:憑證信任規則已更新。如需完整的憑證列表,請參閱:https://support.apple.com/HT204132

  • CFNetwork

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:具有網路特殊權限的攻擊者可能會攔截 SSL/TLS 連線

    說明:變更憑證時,出現 NSURL 的憑證驗證問題。改進憑證驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5824:The Omni Group 的 Timothy J. Wood

  • CFNetwork

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:連接到惡意網頁代理伺服器可能會設定網站的惡意 Cookie

    說明:處理代理伺服器連線回應時出現問題。剖析連線回應時移除 set-cookie 標頭後,已解決此問題。

    CVE-ID

    CVE-2015-5841 : 清華大學藍蓮花戰隊的 Xiaofeng Zheng

  • CFNetwork

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:具有網路特殊權限的攻擊者可追蹤使用者的活動

    說明:處理頂層網域時出現跨網域 Cookie 問題。改進建立 Cookie 的限制後,已解決此問題。

    CVE-ID

    CVE-2015-5885 : 清華大學藍蓮花戰隊的 Xiaofeng Zheng

  • CFNetwork

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:接觸到 iOS 裝置的人可讀取 Apple App 的快取資料

    說明:用來加密快取資料的金鑰僅靠硬體 UID 保護。使用由硬體 UID 和使用者密碼保護的金鑰加密快取資料後,已解決此問題。

    CVE-ID

    CVE-2015-5898:NESO Security Labs 的 Andreas Kurtz

  • CoreCrypto

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:攻擊者可能得以判斷專用密鑰

    說明:藉由觀察多次簽署或解密嘗試,攻擊者可能得以判斷 RSA 專用密鑰。改進加密演算法後,已解決此問題。

  • CoreText

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:處理惡意製作的字體檔案可能導致執行任意程式碼

    說明:處理字體檔案時,出現記憶體損毀問題。改進輸入驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5874:John Villamil(@day6reak)、Yahoo Pentest Team

  • Data Detectors Engine

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:處理惡意製作的文字檔案可能導致執行任意程式碼

    說明:處理文字檔案時,出現記憶體損毀問題。改進界限檢查機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5829:Safeye Team(www.safeye.org)的 M1x7e1

  • Dev Tools

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:惡意應用程式可能得以系統權限執行任意程式碼

    說明:dyld 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5876:grayhash 的 beist

  • Disk Images

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以系統權限執行任意程式碼

    說明:DiskImages 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5847:Filippo Bigarella、Luca Todesco

  • dyld

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:惡意應用程式可能得以略過程式碼簽署

    說明:可執行檔的程式碼簽署驗證出現問題。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5839:@PanguTeam、TaiG Jailbreak Team

  • GasGauge

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以核心權限執行任意程式碼

    說明:核心出現多個記憶體損毀問題。改進記憶體處理機制後,已解決這些問題。

    CVE-ID

    CVE-2015-5918:Apple

    CVE-2015-5919:Apple

  • ICU

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:ICU 有多個漏洞

    說明:53.1.0 之前的 ICU 版本出現多個漏洞。將 ICU 更新至 55.1 版後,已解決這些問題。

    CVE-ID

    CVE-2014-8146:Marc Deslauriers

    CVE-2014-8147:Marc Deslauriers

    CVE-2015-5922:Google Project Zero 的 Mark Brand

  • IOAcceleratorFamily

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:惡意應用程式可能得以判斷核心記憶體佈局

    說明:系統出現問題,導致核心記憶體內容洩漏。改進界限檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5834:Alibaba Mobile Security Team 的 Cererdlong

  • IOAcceleratorFamily

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以系統權限執行任意程式碼

    說明:IOAcceleratorFamily 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5848:Filippo Bigarella

  • IOKit

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:惡意應用程式可能得以系統權限執行任意程式碼

    說明:核心出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5844:Filippo Bigarella

    CVE-2015-5845:Filippo Bigarella

    CVE-2015-5846:Filippo Bigarella

  • IOMobileFrameBuffer

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以系統權限執行任意程式碼

    說明:IOMobileFrameBuffer 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5843:Filippo Bigarella

  • IOStorageFamily

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機攻擊者可能得以讀取核心記憶體

    說明:核心出現記憶體初始化問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5863:IOActive 的 Ilja van Sprundel

  • Kernel

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以核心權限執行任意程式碼

    說明:核心出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5868:Alibaba Mobile Security Team 的 Cererdlong

    CVE-2015-5896:m00nbsd 的 Maxime Villard

    CVE-2015-5903:CESG

  • Kernel

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機攻擊者可控制堆疊 Cookie 的值

    說明:產生使用者空間堆疊 Cookie 的機制出現多個弱點。改進堆疊 Cookie 的產生機制後,已解決此問題。

    CVE-ID

    CVE-2013-3951:Stefan Esser

  • Kernel

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機程序可在沒有授權檢查的情況下修改其他程序

    說明:系統出現問題,允許使用 processor_set_tasks API 的根程序擷取其他程序的工作連接埠。增加授權檢查機制後,已解決此問題。

    CVE-ID

    CVE-2015-5882:Pedro Vilaça(從 Ming-chieh Pan 和 Sung-ting Tsai 的原始研究來解決此問題)、Jonathan Levin

  • Kernel

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機 LAN 區段的攻擊者可停用 IPv6 路由

    說明:處理 IPv6 路由器公告時,出現驗證不足的問題,可讓攻擊者將躍點限制設為任意值。強制最低躍點限制後,已解決此問題。

    CVE-ID

    CVE-2015-5869:Dennis Spindel Ljungmark

  • Kernel

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以判斷核心記憶體佈局

    說明:XNU 出現問題,會導致核心記憶體洩漏。改進核心記憶體結構初始化後,已解決此問題。

    CVE-ID

    CVE-2015-5842:grayhash 的 beist

  • Kernel

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能導致系統阻斷服務

    說明:HFS 磁碟機裝載出現問題。新增驗證檢查後,已解決此問題。

    CVE-ID

    CVE-2015-5748:m00nbsd 的 Maxime Villard

  • libpthread

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:本機使用者可能得以核心權限執行任意程式碼

    說明:核心出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5899 : 奇虎 360 Vulcan Team 的 Lufeng Li

  • PluginKit

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:惡意企業應用程式可在應用程式受到信任之前安裝延伸功能

    說明:安裝期間的延伸功能驗證出現問題。改進 App 驗證機制後,已解決此問題。

    CVE-ID

    CVE-2015-5837:FireEye, Inc. 的 Zhaofeng Chen、Hui Xue 和 Tao(Lenx)Wei。

  • removefile

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:處理惡意資料可能會導致應用程式意外終止

    說明:checkint 除法常式出現溢位錯誤。改進除法常式後,已解決此問題。

    CVE-ID

    CVE-2015-5840:匿名研究員

  • SQLite

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:SQLite v3.8.5 有多個漏洞

    說明:SQLite v3.8.5 出現多個漏洞。將 SQLite 更新至 3.8.10.2 版後,已解決這些問題。

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    適用於:Apple Watch Sport、Apple Watch 和 Apple Watch Edition

    影響:造訪惡意製作的網站可能導致執行任意程式碼。

    說明:Tidy 出現記憶體損毀問題。改進記憶體處理機制後,已解決此問題。

    CVE-ID

    CVE-2015-5522:NULLGroup.com 的 Fernando Muñoz

    CVE-2015-5523:NULLGroup.com 的 Fernando Muñoz

對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商

發佈日期: