Проблемы системы безопасности, устраняемые обновлением watchOS 5.2.1
В этом документе описываются проблемы системы безопасности, устраняемые обновлением watchOS 5.2.1.
Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.
Дополнительные сведения о безопасности см. в статье Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.
watchOS 5.2.1
AppleFileConduit
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8593: Дани Лисянский (Dany Lisiansky, @DanyL931)
CoreAudio
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного файла фильма может приводить к выполнению произвольного кода.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8585: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CoreAudio
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки ошибок.
CVE-2019-8592: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Образы дисков
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема с проверкой устранена путем улучшения очистки ввода.
CVE-2019-8560: Никита Пупышев (Nikita Pupyshev) из Московского государственного технического университета им. Н. Э. Баумана
Ядро
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2019-8605: Нед Уильямсон (Ned Williamson), сотрудничающий с подразделением Google Project Zero
Ядро
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.
CVE-2019-8576: Брэндон Азад (Brandon Azad) из подразделения Google Project Zero, Чунхо Чжанг (Junho Jang) и Ханул Чой (Hanul Choi) из LINE Security Team
Ядро
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Приложение может вызывать неожиданное завершение работы системы или записывать данные в память ядра.
Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.
CVE-2019-8591: Нед Уильямсон (Ned Williamson), сотрудничающий с подразделением Google Project Zero
Почта
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8626: пользователь natashenka из подразделения Google Project Zero
Платформа сообщений приложения «Почта»
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Злоумышленник может удаленно вызвать выполнение произвольного кода.
Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.
CVE-2019-8613: пользователь natashenka из подразделения Google Project Zero
Сообщения
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8664: пользователь natashenka из подразделения Google Project Zero
Сообщения
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании системы.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8573: пользователь natashenka из подразделения Google Project Zero
Сообщения
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8664: пользователь natashenka из подразделения Google Project Zero
MobileInstallation
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.
Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.
CVE-2019-8568: Дани Лисянский (Dany Lisiansky, @DanyL931)
MobileLockdown
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Вредоносное приложение может повышать уровень привилегий до корневого пользователя.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8637: Дани Лисянский (Dany Lisiansky, @DanyL931)
SQLite
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Приложение может получить повышенные привилегии.
Описание. Проблема проверки ввода устранена путем улучшенной обработки памяти.
CVE-2019-8577: Омер Галл (Omer Gull) из Checkpoint Research
SQLite
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Вредоносный SQL-запрос может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.
CVE-2019-8600: Омер Галл (Omer Gull) из Checkpoint Research
SQLite
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Вредоносное приложение может считывать данные из области памяти с ограниченным доступом.
Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.
CVE-2019-8598: Омер Галл (Omer Gull) из Checkpoint Research
SQLite
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Вредоносное приложение может повышать уровень привилегий.
Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.
CVE-2019-8602: Омер Галл (Omer Gull) из Checkpoint Research
sysdiagnose
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Приложение может выполнять произвольный код с системными правами.
Описание. Проблема устранена путем улучшения логики разрешений.
CVE-2019-8574: Дэйтон Пидхерни (Dayton Pidhirney, @_watbulb) из Seekintoo (@seekintoo)
WebKit
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8607: Чунхо Джанг (Junho Jang) и Ханул Чой (Hanul Choi) из LINE Security Team
WebKit
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2019-8583: пользователь sakura из отдела Xuanwu Lab компании Tencent, пользователь jessica (@babyjess1ca_) из отдела Keen Lab компании Tencent и пользователь dwfault из подразделения ADLab компании Venustech
CVE-2019-8601: пользователь Fluoroacetate, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
CVE-2019-8622: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
CVE-2019-8623: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
Wi-Fi
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Злоумышленник с преимущественным положением в сети может изменять состояние драйвера.
Описание. Логическая проблема устранена путем улучшенного управления состояниями.
CVE-2019-8612: Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Wi-Fi
Целевые продукты: Apple Watch Series 1 и более поздние модели
Воздействие. Устройство может быть пассивно отслежено по MAC-адресу Wi-Fi-адаптера.
Описание. Проблема с конфиденциальностью пользователя устранена посредством удаления транслированного MAC-адреса.
CVE-2019-8620: Давид Крейчман (David Kreitschmann) и Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Дополнительные благодарности
Clang
Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.
CoreAudio
Выражаем благодарность за помощь пользователю riusksk из VulWar Corp, сотрудничающему с компанией Trend Micro в рамках программы Zero Day Initiative.
CoreFoundation
Выражаем благодарность за помощь пользователям Vozzie, Rami и m4bln, а также Сянцяню Чжану (Xiangqian Zhang), Хойминю Лю (Huiming Liu) из отдела Xuanwu Lab компании Tencent.
Ядро
Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero и анонимному исследователю.
MediaLibrary
Выражаем благодарность за помощь Анхелю Рамиресу (Angel Ramirez) и Мину (Спарк) Чжену (Min (Spark) Zheng), Сяолуну Баю (Xiaolong Bai) из Alibaba Inc.
MobileInstallation
Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.