Over de beveiligingsinhoud van watchOS 2

In dit document wordt de beveiligingsinhoud van watchOS 2 beschreven.

Ter bescherming van onze klanten maakt Apple geen beveiligingskwesties openbaar en bespreekt of bevestigt Apple deze niet totdat een volledig onderzoek is uitgevoerd en de benodigde patches of releases beschikbaar zijn. Meer informatie over Apple productbeveiliging vind je op de website Apple productbeveiliging.

Raadpleeg Hoe gebruik je de Apple Product Security PGP-sleutel? voor meer informatie over het gebruik van de Apple PGP-sleutel voor productbeveiliging.

Waar mogelijk worden CVE-ID's als referentie voor kwetsbaarheden gebruikt voor verdere informatie.

Raadpleeg Apple beveiligingsupdates voor meer informatie over andere beveiligingsupdates.

watchOS 2

  • Apple Pay

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: bij sommige kaarten kan een terminal beperkte recente transactiegegevens ophalen bij het uitvoeren van een betaling

    Beschrijving: de transactielogboekfunctionaliteit was in bepaalde configuraties ingeschakeld. Dit probleem is verholpen door de logbestanden van transacties te verwijderen.

    CVE-ID

    CVE-2015-5916

  • Audio

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het afspelen van een kwaadaardig audiobestand kan leiden tot een onverwachte beëindiging van het programma

    Beschrijving: er was een probleem met geheugenbeschadiging bij de verwerking van audiobestanden. Dit probleem is verholpen door verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon van Information Security Lab. (Adv.: Prof. Taekyoung Kwon), Yonsei University, Seoul, Korea

  • Certificate Trust Policy

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: update van het certificaatvertrouwensbeleid

    Beschrijving: het certificaatvertrouwensbeleid is bijgewerkt. De complete lijst van certificaten is te bekijken op https://support.apple.com/HT204873.

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller met een bevoorrechte netwerkpositie kan SSL/TLS-verbindingen onderscheppen

    Beschrijving: er was een certificaatvalidatieprobleem in NSURL bij het wijzigen van een certificaat. Dit probleem is verholpen door verbeterde validatie van certificaten.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood van The Omni Group

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: verbinding maken met een kwaadaardige webproxy kan kwaadaardige cookies instellen voor een website

    Beschrijving: er was een probleem bij het afhandelen van proxy-verbindingsreacties. Dit probleem is verholpen door de Set-Cookie-header te verwijderen tijdens het parseren van de reacties op verbindingen.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller in een bevoorrechte netwerkpositie kan de activiteit van een gebruiker volgen

    Beschrijving: er was een probleem met domeinoverschrijdende cookies bij de verwerking van domeinen op het hoogste niveau. Dit probleem is verholpen door verbeterde beperkingen bij de aanmaak van cookies.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng van Blue Lotus Team, Tsinghua University

  • CFNetwork

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een persoon met fysieke toegang tot een iOS-apparaat kan cachegegevens lezen van Apple apps

    Beschrijving: cachegegevens werden versleuteld met een sleutel die alleen wordt beveiligd door de hardware-UID. Dit probleem is verholpen door de cachegegevens te versleutelen met een sleutel die wordt beschermd door de hardware-UID en de toegangscode van de gebruiker.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz van NESO Security Labs

  • CoreCrypto

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller kan mogelijk een privésleutel bepalen

    Beschrijving: door veel ondertekenings- of decoderingspogingen te observeren, kon een aanvaller mogelijk de RSA-privésleutel bepalen. Dit probleem is verholpen door verbeterde coderingsalgoritmen te gebruiken.

  • CoreText

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het verwerken van een kwaadwillig vervaardigd lettertypebestand kan het uitvoeren van willekeurige code tot gevolg hebben

    Beschrijving: er was een probleem met geheugenbeschadiging bij het verwerken van lettertypebestanden. Dit probleem is verholpen door een verbeterde invoervalidatie.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het verwerken van een kwaadwillig vervaardigd tekstbestand kan het uitvoeren van willekeurige code tot gevolg hebben

    Beschrijving: er waren problemen met geheugenbeschadiging bij de verwerking van tekstbestanden. Deze problemen zijn verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5829: M1x7e1 van Safeye Team (www.safeye.org)

  • Dev Tools

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in dyld. Dit is verholpen door verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5876: beist van grayhash

  • Disk Images

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in DiskImages. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een programma kan codeondertekening omzeilen

    Beschrijving: er was een probleem met de validatie van de codehandtekening van uitvoerbare bestanden. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er waren meerdere problemen met geheugenbeschadiging in de kernel. Deze problemen zijn verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: meerdere kwetsbaarheden in ICU

    Beschrijving: er was sprake van meerdere kwetsbaarheden in ICU-versies vóór 53.1.0. Deze problemen zijn verholpen door ICU bij te werken naar versie 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand van Google Project Zero

  • IOAcceleratorFamily

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig programma kan mogelijk de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem dat leidde tot het vrijgeven van de inhoud van het kernelgeheugen. Dit probleem is verholpen door middel van een verbeterde controle van de grenzen.

    CVE-ID

    CVE-2015-5834: Cererdlong van Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOAcceleratorFamily. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig programma kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met systeembevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in IOMobileFrameBuffer. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale aanvaller kan mogelijk het kernelgeheugen lezen

    Beschrijving: er was een probleem met de geheugeninitialisatie in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel van IOActive

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5868: Cererdlong van Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard van m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale aanvaller kan de waarde van stack-cookies beheren

    Beschrijving: er was sprake van meerdere kwetsbaarheden punten bij het genereren van stack-cookies voor de gebruikersruimte. Dit is verholpen door verbeterde aanmaak van stack cookies.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokaal proces kan andere processen wijzigen zonder rechtencontroles

    Beschrijving: er was een probleem waarbij rootprocessen met behulp van de API processor_set_tasks de taakpoorten van andere processen mochten ophalen. Dit probleem is verholpen door extra controle van de bevoegdheden.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça, met behulp van eerder onderzoek door Ming-chieh Pan en Sung-ting Tsai; Jonathan Levin

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een aanvaller in een lokaal LAN-segment kan IPv6-routering uitschakelen

    Beschrijving: er was een probleem met ontoereikende validatie bij het afhandelen van IPv6-routeradvertenties waardoor een aanvaller de hoplimiet op een willekeurige waarde kon instellen. Dit probleem is verholpen door een minimale hoplimiet op te leggen.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk de lay-out van het kernelgeheugen bepalen

    Beschrijving: er was een probleem in XNU dat leidde tot het vrijgeven van kernelgeheugen. Dit probleem is verholpen door verbeterde initialisatie van kernelgeheugenstructuren.

    CVE-ID

    CVE-2015-5842: beist van grayhash

  • Kernel

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk een denial-of-service van het systeem veroorzaken

    Beschrijving: er was een probleem met het koppelen van HFS-schijven. Dit is verholpen door extra validatiecontroles.

    CVE-ID

    CVE-2015-5748: Maxime Villard van m00nbsd

  • libpthread

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een lokale gebruiker kan mogelijk willekeurige code uitvoeren met kernelbevoegdheden

    Beschrijving: er was een probleem met geheugenbeschadiging in de kernel. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5899: Lufeng Li van Qihoo 360 Vulcan Team

  • PluginKit

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een kwaadaardig bedrijfseigen programma kan extensies installeren voordat het programma is vertrouwd

    Beschrijving: er was een probleem bij de validatie van extensies tijdens de installatie. Dit is verholpen door verbeterde controle van apps.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue en Tao (Lenx) Wei van FireEye, Inc.

  • removefile

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: het verwerken van kwaadaardige gegevens kan leiden tot de onverwachte beëindiging van programma's

    Beschrijving: er was sprake van een overloopfout in de checkint-routines voor deling. Dit probleem is verholpen door verbeterde delingsroutines.

    CVE-ID

    CVE-2015-5840: een anonieme onderzoeker

  • SQLite

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: meerdere kwetsbaarheden in SQLite v3.8.5

    Beschrijving: er was sprake van meerdere kwetsbaarheden in SQLite v3.8.5. Deze problemen zijn verholpen door SQLite bij te werken naar versie 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Beschikbaar voor: Apple Watch Sport, Apple Watch en Apple Watch Edition

    Impact: een bezoek aan een kwaadwillig vervaardigde website kan leiden tot de uitvoering van willekeurige code

    Beschrijving: er was een probleem met geheugenbeschadiging in Tidy. Dit probleem is verholpen door een verbeterde verwerking van het geheugen.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz van NULLGroup.com

    CVE-2015-5523: Fernando Muñoz van NULLGroup.com

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: