Проблемы системы безопасности, устраняемые обновлением watchOS 4.3

В этой статье описываются проблемы системы безопасности, устраняемые обновлением watchOS 4.3.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительные сведения о безопасности можно найти на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости обозначаются с помощью кода CVE-ID, когда это возможно.

watchOS 4.3

Дата выпуска: 29 марта 2018 г.

CoreFoundation

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2018-4155: Самуэль Гросс (Samuel Groß, @5aelo)

CVE-2018-4158: Самуэль Гросс (Samuel Groß, @5aelo)

CoreText

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносной строки может привести к отказу в обслуживании.

Описание. Проблема отказа в обслуживании устранена путем улучшенной обработки памяти.

CVE-2018-4142: Робин Лерой (Robin Leroy) из компании Google Switzerland GmbH

Запись обновлена 16 ноября 2018 г.

События файловой системы

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2018-4167: Самуэль Гросс (Samuel Groß, @5aelo)

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносное приложение может выполнять произвольный код с привилегиями ядра.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4150: анонимный исследователь

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшения очистки ввода.

CVE-2018-4104: Национальный центр кибербезопасности Великобритании (National Cyber Security Centre, NCSC)

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4143: пользователь derrek (@derrekr6)

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносное приложение может выявлять схему распределения памяти в ядре.

Описание. При обработке шейдеров OpenGL возникала проблема раскрытия данных. Проблема устранена путем усовершенствования управления состояниями.

CVE-2018-4185: Брэндон Азад (Brandon Azad)

Запись добавлена 19 июля 2018 г.

libxml2

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.

Описание. Проблема с использованием данных после освобождения памяти устранена путем улучшенного управления памятью.

CVE-2017-15412: Ник Уэллнхофер (Nick Wellnhofer)

Запись добавлена 18 октября 2018 г.

LinkPresentation

Целевые продукты: все модели Apple Watch

Воздействие. Посещение вредоносного веб-сайта может приводить к подмене адресной строки.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2018-4390: Райян Биджоора (Rayyan Bijoora, @Bijoora) из The City School (PAF Chapter)

CVE-2018-4391: Райян Биджоора (Rayyan Bijoora, @Bijoora) из The City School (PAF Chapter)

Запись добавлена 30 октября 2018 г., обновлена 16 ноября 2018 г.

NSURLSession

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2018-4166: Самуэль Гросс (Samuel Groß, @5aelo)

Быстрый просмотр

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может получить повышенные привилегии.

Описание. Проблема с возникновением условия состязания устранена путем дополнительной проверки.

CVE-2018-4157: Самуэль Гросс (Samuel Groß, @5aelo)

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносное приложение может повышать уровень привилегий.

Описание. Проблема переполнения буфера устранена путем улучшенной проверки размера.

CVE-2018-4144: Абрахам Масри (Abraham Masri, @cheesecakeufo)

Системные настройки

Целевые продукты: все модели Apple Watch

Воздействие. Профиль конфигурации может продолжать действовать после удаления.

Описание. Существовала проблема в интерфейсе API CFPreferences. Проблема устранена путем улучшенного удаления настроек.

CVE-2018-4115: Йоханн Талакада (Johann Thalakada), Владимир Зубков (Vladimir Zubkov) и Мэтт Власач (Matt Vlasach) из компании Wandera

Запись обновлена 16 ноября 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие с типами индексирования приводит к сбою макроса ASSERT.

Описание. При обработке функций в ядре JavaScript возникала проблема с индексацией массивов. Проблема устранена путем улучшенных проверок.

CVE-2018-4113: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может привести к отказу в обслуживании.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4146: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4114: обнаружено с помощью инструмента OSS-Fuzz

CVE-2018-4121: пользователь natashenka из подразделения Google Project Zero

CVE-2018-4122: пользователь WanderingGlitch, сотрудничающий с Trend Micro по программе Zero Day Initiative

CVE-2018-4125: пользователь WanderingGlitch, сотрудничающий с Trend Micro по программе Zero Day Initiative

CVE-2018-4129: пользователь likemeng из лаборатории Baidu Security Lab, сотрудничающей с Trend Micro по программе Zero Day Initiative

CVE-2018-4161: пользователь WanderingGlitch, сотрудничающий с Trend Micro по программе Zero Day Initiative

CVE-2018-4162: пользователь WanderingGlitch, сотрудничающий с Trend Micro по программе Zero Day Initiative

CVE-2018-4163: пользователь WanderingGlitch, сотрудничающий с Trend Micro по программе Zero Day Initiative

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносный веб-сайт может вызывать утечку данных в другой домен.

Описание. При активации интерфейса API Fetch возникала проблема использования разных источников. Проблема устранена путем улучшенной проверки ввода.

CVE-2018-4117: анонимный исследователь, анонимный исследователь

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема устранена путем улучшения проверок.

CVE-2018-4207: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 2 мая 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема устранена путем улучшения проверок.

CVE-2018-4208: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 2 мая 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема устранена путем улучшения проверок.

CVE-2018-4209: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 2 мая 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие с типами индексирования приводит к сбою.

Описание. При обработке функций в ядре JavaScript возникала проблема с индексацией массивов. Проблема устранена путем улучшенных проверок.

CVE-2018-4210: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 2 мая 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема устранена путем улучшения проверок.

CVE-2018-4212: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 2 мая 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Неожиданное взаимодействие приводит к сбою макроса ASSERT.

Описание. Проблема устранена путем улучшения проверок.

CVE-2018-4213: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 2 мая 2018 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4145: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 18 октября 2018 г.

Дополнительные благодарности

Почта

Выражаем благодарность за помощь Сабри Хаддушу (Sabri Haddouche, @pwnsdx) из Wire Swiss GmbH.

Запись добавлена 21 июня 2018 г.

Безопасность

Выражаем благодарность за помощь Абрахаму Масри (Abraham Masri, @cheesecakeufo).

Запись добавлена 13 апреля 2018 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: