Om säkerhetsinnehållet i Watch OS 1.0.1
I det här dokumentet beskrivs säkerhetsinnehållet i Watch OS 1.0.1.
Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. Läs mer om Apple produktsäkerhet på webbplatsen Apple produktsäkerhet.
Mer information om Apples PGP-nyckel för produktsäkerhet finns i artikeln Så här använder du en PGP-nyckel från Apple Product Security.
Om möjligt används CVE-ID:n som referenser till ytterligare information om säkerhetsproblem.
Läs mer om Säkerhetsuppdateringar i artikeln Säkerhetsuppdateringar från Apple.
Watch OS 1.0.1
Certifierad förtroendepolicy
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Uppdatering av den certifierade förtroendepolicyn
Beskrivning: Den certifierade förtroendepolicyn uppdaterades. Du kan läsa den fullständiga listan över certifikat på https://support.apple.com/kb/HT204873?viewlocale=sv_SE
FontParser
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Bearbetning av en felaktigt utformad teckensnittsfil kan leda till opålitlig kodexekvering.
Beskrivning: Ett minnesfel förekom i bearbetningen av teckensnittsfiler. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1093: Marc Schoenefeld
Grund
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett program som använder NSXMLParser kan användas felaktigt för att avslöja information
Beskrivning: Ett problem med XML External Entity förekom i hanteringen av XML i NSXMLParser. Problemet åtgärdades genom att inte läsa in externa entiteter mellan olika ursprung.
CVE-ID
CVE-2015-1092: Ikuya Fukumoto
IOHIDFamily
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett fel förekom i IOHIDFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom förbättrad gränskontroll.
CVE-ID
CVE-2015-1096: Ilja van Sprundel på IOActive
IOAcceleratorFamily
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet
Beskrivning: Ett problem förekom i IOAcceleratorFamily som ledde till att kärnminnesinnehåll avslöjades. Problemet åtgärdades genom att ta bort onödig kod.
CVE-ID
CVE-2015-1094: Cererdlong på Alibaba Mobile Security Team
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett skadligt program kan orsaka att tjänster avbryts i systemet
Beskrivning: Ett race-tillstånd förekom i kärnans setreuid-systemanrop. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1099: Mark Mentovai på Google Inc.
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare med en priviligierad nätverksposition kan dirigera om användartrafik till godtyckliga värdar
Beskrivning: ICMP-omdirigeringar var aktiverade som standard. Problemet åtgärdades genom avaktivering av ICMP-omdirigeringar.
CVE-ID
CVE-2015-1103: Zimperium Mobile Security Labs
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En fjärrangripare kan orsaka att tjänsten avbryts
Beskrivning: Ett lägesinkonsekvensproblem förekom i hanteringen av TCP out of band-data. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1105: Kenton Varda på Sandstorm.io
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett skadligt program kan eskalera behörigheter med en komprometterad tjänst som är avsedd att köras med begränsad behörighet
Beskrivning: setreuid- och setregid-systemanropen kunde inte släppa behörigheter permanent. Det här problemet korrigerades genom att behörigheterna släpptes korrekt.
CVE-ID
CVE-2015-1117: Mark Mentovai på Google Inc.
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En fjärrangripare kan komma förbi nätverksfilter
Beskrivning: Systemet behandlade vissa IPv6-paket från fjärranslutna nätverksgränssnitt som lokala paket. Problemet åtgärdades genom att dessa paket avvisades.
CVE-ID
CVE-2015-1104: Stephen Roettger på Google Security Team
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare med en privilegierad nätverksposition kan orsaka att tjänsten avbryts
Beskrivning: En lägesinkonsekvens förekom i bearbetningen av TCP-rubriker. Problemet åtgärdades genom förbättrad tillståndshantering.
CVE-ID
CVE-2015-1102: Andrey Khudyakov och Maxim Zhuravlev på Kaspersky Lab
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett skadligt program kan leda till oväntad systemavstängning eller läsning av kärnans minne
Beskrivning: Ett out of bounds-minnesåtkomstproblem förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1100: Maxime Villard på m00nbsd
Kärna
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: Ett skadligt program kan köra godtycklig kod med systembehörighet
Beskrivning: Ett minnesfel förekom i kärnan. Problemet åtgärdades genom förbättrad minneshantering.
CVE-ID
CVE-2015-1101: lokihardt@ASRT i samarbete med HP:s Zero Day Initiative
Secure Transport
Tillgänglig för: Apple Watch Sport, Apple Watch och Apple Watch Edition
Effekt: En angripare med en privilegierad nätverksposition kan påverka SSL-/TLS-anslutningar
Beskrivning: Secure Transport accepterade korta flyktiga RSA-nycklar, som vanligtvis endast används i RSA-chiffersviter med exportstyrka, via anslutningar som använder RSA-chiffersviter med full styrka. Detta problem, som även kallas för FREAK, påverkade endast anslutningar till servrar med stöd för RSA-chiffersviter med exportstyrka. Det åtgärdades genom att stöd för flyktiga RSA-nycklar togs bort.
CVE-ID
CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti och Jean Karim Zinzindohoue från Prosecco på Inria Paris
Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.