Сведения о проблемах системы безопасности, устраняемых обновлением watchOS 2

В этом документе описываются проблемы системы безопасности, устраняемые обновлением watchOS 2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на странице Обращение в Apple по поводу проблем с безопасностью или конфиденциальностью.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Если возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Выпуски безопасности Apple.

watchOS 2

  • Apple Pay

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. При совершении платежа некоторыми картами терминал может получать ограниченную информацию о недавней транзакции

    Описание. В определенных конфигурациях была включена функция журнала транзакций. Проблема устранена путем отключения журнала транзакций.

    CVE-ID

    CVE-2015-5916

  • Audio

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Воспроизведение вредоносного аудиофайла может привести к неожиданному завершению работы приложения

    Описание. При обработке аудиофайлов существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5862: YoungJin Yoon из Information Security Lab. (конс.проф. Taekyoung Kwon), университет Енсе, Сеул, Корея

  • Certificate Trust Policy

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Обновление политики доверия к сертификатам

    Описание. Политика доверия к сертификатам была обновлена. Полный список сертификатов можно просмотреть в статье https://support.apple.com/HT204873.

  • CFNetwork

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник с привилегированным положением в сети может перехватывать соединения SSL/TLS

    Описание. При изменении сертификата в NSURL существовала проблема с проверкой сертификата. Проблема устранена путем улучшенной проверки сертификатов.

    CVE-ID

    CVE-2015-5824: Timothy J. Wood из The Omni Group

  • CFNetwork

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. При подключении к вредоносному прокси-серверу могут быть установлены вредоносные файлы cookie для веб-сайта

    Описание. При обработке ответов на подключение к прокси-серверу возникала проблема. Проблема устранена путем удаления заголовка set-cookie при анализе ответов при подключении.

    CVE-ID

    CVE-2015-5841: Xiaofeng Zheng из группы Blue Lotus, университет Цинхуа

  • CFNetwork

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник с привилегированным положением в сети может отслеживать активность пользователя

    Описание. При обработке доменов верхнего уровня существовала проблема с файлами cookie. Проблема устранена путем улучшения ограничений на создание файлов cookie.

    CVE-ID

    CVE-2015-5885: Xiaofeng Zheng из группы Blue Lotus, университет Цинхуа

  • CFNetwork

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Пользователь с физическим доступом к устройству iOS может считывать данные кэша из приложений Apple

    Описание. Данные кэша были зашифрованы ключом, защищенным только аппаратным UID. Проблема устранена путем шифрования данных кэша ключом, защищенным с помощью аппаратного идентификатора UID и код-пароля пользователя.

    CVE-ID

    CVE-2015-5898: Andreas Kurtz из NESO Security Labs

  • CoreCrypto

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник может определить закрытый ключ

    Описание. Наблюдая за множественными попытками входа или расшифровки, злоумышленник, возможно, мог определять закрытый ключ RSA. Проблема устранена путем использования улучшенных алгоритмов шифрования.

  • CoreText

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Обработка вредоносного файла шрифта может привести к выполнению произвольного кода

    Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Проблема устранена путем улучшенной проверки ввода.

    CVE-ID

    CVE-2015-5874: John Villamil (@day6reak) из группы Yahoo Pentest

  • Data Detectors Engine

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Обработка вредоносного текстового файла может привести к выполнению произвольного кода

    Описание. При обработке текстовых файлов существовала проблема повреждения памяти. Проблемы устранены путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2015-5829: пользователь M1x7e1 из группы Safeye (www.safeye.org)

  • Dev Tools

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами

    Описание. В dyld существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5876: пользователь beist из grayhash

  • Disk Images

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выполнять произвольный код с системными правами

    Описание. В DiskImages существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Приложение может обойти проверки подписания кода

    Описание. Существовала проблема с проверкой подписи кода исполняемых файлов. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2015-5839: пользователь @PanguTeam из группы TaiG Jailbreak

  • GasGauge

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выполнять произвольный код с привилегиями ядра

    Описание. В ядре существовало несколько проблем повреждения памяти. Проблемы устранены путем улучшенной обработки обращений к памяти.

    CVE-ID

    CVE-2015-5918: компания Apple

    CVE-2015-5919: компания Apple

  • ICU

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Несколько уязвимостей в ICU

    Описание. Несколько уязвимостей существовали в версиях ICU до 53.1.0. Эти проблемы были решены в обновлении ICU до версии 55.1.

    CVE-ID

    CVE-2014-8146: Marc Deslauriers

    CVE-2014-8147: Marc Deslauriers

    CVE-2015-5922: Mark Brand из Google Project Zero

  • IOAcceleratorFamily

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносное приложение может выявить схему распределения памяти в ядре

    Описание. Существовала проблема, которая приводила к раскрытию содержимого памяти ядра. Проблема устранена путем улучшенной проверки границ памяти.

    CVE-ID

    CVE-2015-5834: пользователь Cererdlong из отдела безопасности мобильных устройств в Alibaba

  • IOAcceleratorFamily

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выполнять произвольный код с системными правами

    Описание. В IOAcceleratorFamily существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами

    Описание. В ядре существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выполнять произвольный код с системными правами

    Описание. В IOMobileFrameBuffer существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный злоумышленник может считывать память ядра

    Описание. В ядре существовала проблема инициализации памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5863: Ilja van Sprundel из IOActive

  • Kernel

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выполнять произвольный код с привилегиями ядра

    Описание. В ядре существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5868: пользователь Cererdlong из Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard из m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный злоумышленник может контролировать значение файлов cookie стека

    Описание. При создании файлов cookie стека в пространстве пользователя существовало несколько уязвимостей. Проблема устранена путем улучшения механизма для создания файлов cookie стека.

    CVE-ID

    CVE-2013-3951: Stefan Esser

  • Kernel

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный процесс может модифицировать другие процессы без проверки прав

    Описание. Существовала проблема, при которой корневым процессам, в которых используется processor_set_tasks API, разрешалось извлекать порты задач других процессов. Проблема устранена путем добавления проверок прав.

    CVE-ID

    CVE-2015-5882: Pedro Vilaça в рамках работы над проектом, начатым Ming-chieh Pan и Sung-ting Tsai; Jonathan Levin

  • Kernel

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник в сегменте локальной сети может отключить маршрутизацию IPv6

    Описание. Недостаточно строгая проверка при обработке объявления маршрутизатора IPv6, которая позволяла злоумышленнику установить ограничение перехода на произвольное значение. Проблема устранена путем принудительной установки максимального количества транзитных участков.

    CVE-ID

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выявить схему распределения памяти в ядре

    Описание. В XNU существовала проблема, которая приводила к раскрытию содержимого памяти ядра. Проблема устранена путем улучшенной инициализации структур памяти ядра.

    CVE-ID

    CVE-2015-5842: пользователь beist из grayhash

  • Kernel

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может вызвать системный отказ в обслуживании

    Описание. Существовала проблема при подключении диска HFS. Проблема устранена путем ввода дополнительных проверок.

    CVE-ID

    CVE-2015-5748: Maxime Villard из m00nbsd

  • libpthread

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Локальный пользователь может выполнять произвольный код с привилегиями ядра

    Описание. В ядре существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5899: Lufeng Li из группы Qihoo 360 Vulcan

  • PluginKit

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносное корпоративное приложение может устанавливать расширения до подтверждения уровня доверия к нему

    Описание. При проверке расширений во время установки возникала проблема. Проблема устранена путем дополнительной проверки приложений.

    CVE-ID

    CVE-2015-5837: Zhaofeng Chen, Hui Xue и Tao (Lenx) Wei из FireEye, Inc.

  • removefile

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Обработка вредоносных данных может привести к неожиданному завершению работы приложения

    Описание. В процедурах проверки раздела checkint существовала ошибка переполнения. Проблема устранена путем улучшения стандартных процессов проверки разделов.

    CVE-ID

    CVE-2015-5840: анонимный исследователь

  • SQLite

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Несколько уязвимостей в SQLite v3.8.5

    Описание. В SQLite v3.8.5 существовало несколько уязвимостей. Эти проблемы были решены обновлением SQLite до версии 3.8.10.2.

    CVE-ID

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Целевые продукты: Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Переход на вредоносный веб-сайт может привести к выполнению произвольного кода

    Описание. В Tidy существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    CVE-ID

    CVE-2015-5522: Fernando Muñoz из NULLGroup.com

    CVE-2015-5523: Fernando Muñoz из NULLGroup.com

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: