Проблемы системы безопасности, устраняемые обновлением watchOS 7.2
В этом документе описываются проблемы системы безопасности, устраняемые обновлением watchOS 7.2.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности продуктов Apple см. на этой странице.
Обновления программного обеспечения для watchOS 7.2
Audio
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного аудиофайла может приводить к раскрытию области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-29610: анонимный исследователь, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CoreAudio
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-27948: Цзюньдун Се (JunDong Xie) из компании Ant Security Light-Year Lab
FontParser
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Удаленный злоумышленник может инициировать утечку данных памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-29608: Синвэй Линь (Xingwei Lin) из подразделения безопасности Light-Year компании Ant Group
FontParser
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.
Описание. Проблема раскрытия информации устранена путем улучшения управления состояниями.
CVE-2020-27946: Матеуш Юрчик (Mateusz Jurczyk) из Google Project Zero
FontParser
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.
Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.
CVE-2020-27943: Матеуш Юрчик (Mateusz Jurczyk) из Google Project Zero
CVE-2020-27944: Матеуш Юрчик (Mateusz Jurczyk) из Google Project Zero
CVE-2020-29624: Матеуш Юрчик (Mateusz Jurczyk) из Google Project Zero
ImageIO
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-29615: Синвэй Лин (XingWei Lin) из подразделения безопасности Light-Year компании Ant Group
ImageIO
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. При обработке вредоносного изображения возможно повреждение динамической памяти.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-29617: XingWei Lin из подразделения безопасности Light-Year компании Ant Group
CVE-2020-29619: XingWei Lin из подразделения безопасности Light-Year компании Ant Group
ImageIO
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2020-29618: XingWei Lin из подразделения безопасности Light-Year компании Ant Group
ImageIO
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.
Описание. Проблема записи за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2020-29611: Александру-Влад Никулае (Alexandru-Vlad Niculae), сотрудничающий с Google Project Zero
Security
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Несанкционированное выполнение кода может приводить к нарушению политики аутентификации.
Описание. Проблема устранена путем улучшения проверок.
CVE-2020-27951: специалисты Apple
WebRTC
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2020-15969: анонимный исследователь
Wi-Fi
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.
Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.
CVE-2021-31077: Lee из CompSec@SNU
Дополнительные благодарности
CoreAudio
Выражаем благодарность за помощь Цзюньдуну Се (JunDong Xie) и Синвэю Лину (XingWei Lin) из компании Ant Security Light-Year Lab.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.