令果粉们激动的watchOS 2终于来了，这是一个可以自己打造的手表系统，同时新版本进行了大量的安全补丁。

姗姗来迟的watchOS 2

原定于9月16日与果粉见面的苹果手表新系统watchOS 2，因为突然发现的漏洞而被迫延迟，让不少国内用户白白守候到凌晨。终于，昨天新系统正式发布，网上很快便出现评测：苹果表不再是个装X工具。当然，我们最关注的主要还是新系统的安全性。

‍‍新系统修复的漏洞包括了存在于多个组件中的远程代码执行漏洞，以及一些CFNetwork证书验证的问题。盘古团队指出,苹果还在dlyd修补一个了bug——操作系统的动态链接器。

‍‍苹果公司说，dyld漏洞允许应用程序绕过代码签名：

“存在一个可执行的代码签名验证问题，这个问题是通过改进边界检查得到解决。”

苹果还谈到了出现在CFNetwork中，开发人员使用核心服务框架作为网络协议抽象库的漏洞。这两个漏洞允许攻击者以中间人的位置读取SSL/TLS通信或跟踪用户活动。苹果表示他们通过改进证书验证以及改善更加限制的cookie分别修复了这两个问题。

watchOS的第一次重大安全更新

苹果还修复了watchOS处理代理连接的问题，防止攻击者通过代理设置恶意。

此次新系统发布了一个补丁解决了FTP客户端的问题防止客户侦察其他主机，还解决了需要物理访问到iOS设备的加密问题：

“缓存数据仅由硬件UID保护的密钥进行加密，这个问题通过由UID和用户密码保护的密钥来加密该高速缓存的数据得以解决。”

苹果还修补了不少watchOS内核的问题，其中多涉及破坏内存的漏洞，这些漏洞会让攻击者获得内核权限然后执行代码。其中就有允许本地攻击者控制堆栈cookies。苹果还修补了内核内存泄漏的漏洞以及一个拒绝服务问题。

相比于5月份只解决了一个代码执行漏洞以及一些特权升级和拒绝服务问题，这次watchOS2以及补丁的发布更新了很多安全问题。

*参考来源：threatpost， 江湖小虾编译，转载请注明来自Freebuf.COM(黑客与极客)