Проблемы безопасности, устраненные в ОС watchOS 2.1

В этом документе описаны проблемы системы безопасности, устраненные в ОС watchOS 2.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

watchOS 2.1

  • AppSandbox

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа может оставлять открытым доступ к Контактам после отзыва доступа.

    Описание. Имела место проблема при обработке жестких ссылок в песочнице. Эта проблема решена посредством улучшения процедуры жесткого связывания в песочнице программы.

    Идентификатор CVE

    CVE-2015-7001: Разван Деаконеску (Razvan Deaconescu) и Михай Бучикою (Mihai Bucicoiu) из Политехнического университета Бухареста; Люк Дешотелс (Luke Deshotels) и Уильям Энк (William Enck) из Университета штата Северная Каролина; Лукас Винченцо Дави (Lucas Vincenzo Davi) и Ахмад-Реза Садеги (Ahmad-Reza Sadeghi) из Дармштадтского технического университета.

  • Сжатие

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В zlib возникала проблема неинициализированного доступа к памяти. Проблема устранена путем улучшенной инициализации памяти и дополнительной проверки потоков zlib.

    Идентификатор CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Обработка вредоносного файла шрифта может привести к выполнению произвольного кода.

    Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Проблема устранена путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2015-7105: Джон Вилламил (John Villamil [@day6reak]), подразделение Yahoo Pentest

  • Воспроизведение CoreMedia

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. При обработке нестандартных медиафайлов существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7075

  • dyld

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В dyld существовала проблема проверки пути. Проблема устранена путем улучшенной очистки среды.

    Идентификатор CVE

    CVE-2015-7072: компания Apple

  • FontParser

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Обработка вредоносного файла шрифта может привести к выполнению произвольного кода.

    Описание. При обработке файлов шрифтов возникал ряд проблем повреждения памяти. Проблемы были устранены путем улучшенной проверки границ.

    Идентификатор CVE

    CVE-2015-6978: Яанус Кп (Jaanus Kp) из компании Clarified Security, работающий с компанией HP по программе Zero Day Initiative.

  • GasGauge

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В ядре существовало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-6979: PanguTeam

  • ImageIO

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Обработка вредоносного изображения могла приводить к выполнению произвольного кода.

    Описание. Ошибка в ImageIO приводила к повреждению содержимого памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7053: компания Apple

  • IOHIDFamily

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В интерфейсе IOHIDFamily существовал ряд ошибок, приводящих к повреждению содержимого памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7111: beist и ABH из BoB

    CVE-2015-7112: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOKit SCSI

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

    Описание. При обработке определенного типа клиентов-пользователей возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки.

    Идентификатор CVE

    CVE-2015-7068: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Локальная программа может вызвать отказ в обслуживании.

    Описание. Ряд проблем отказа в обслуживании устранен путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7040: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2015-7041: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2015-7042: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2015-7043: Тарджей Мандт (Tarjei Mandt) (@kernelpool)

  • Ядро

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

    Описание. Возникала проблема при разборе сообщений mach. Эта проблема решена путем улучшенной проверки сообщений mach.

    Идентификатор CVE

    CVE-2015-7047: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

    Описание. В ядре возникал ряд проблем, связанных с повреждением памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7083: Иэн Бир (Ian Beer) из подразделения Google Project Zero

    CVE-2015-7084: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • LaunchServices

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. При обработке вредоносных файлов plist возникала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7113: Оливье Гогель (Olivier Goguel) из Free Tools Association

  • libarchive

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. При обработке архивов возникала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2011-2895: @practicalswift

  • libc

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Обработка вредоносного пакета могла приводить к выполнению произвольного кода.

    Описание. В стандартной библиотеке C возникал ряд проблем переполнения буфера. Проблемы были устранены путем улучшенной проверки границ.

    Идентификатор CVE

    CVE-2015-7038: Брайан Уэллс (Brian D. Wells) из E. W. Scripps, Нараян Субраманиан (Narayan Subramanian) из Symantec Corporation/Veritas LLC

    CVE-2015-7039: Максимилиан Арцемовиц (Maksymilian Arciemowicz) из CXSECURITY.COM

    Запись обновлена 3 марта 2017 г.

  • mDNSResponder

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Локальная программа может вызвать отказ в обслуживании.

    Описание. Проблема разыменования нулевого указателя решена посредством улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7988: Александр Хели (Alexandre Helie)

  • OpenGL

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.

    Описание. В OpenGL возникал ряд проблем, приводящих к повреждению памяти. Эти проблемы были устранены путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7064: компания Apple

    CVE-2015-7066: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks

  • Sandbox

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Вредоносная программа с привилегиями пользователя root могла обходить технологию случайного расположения в адресном пространстве ядра (ASLR).

    Описание. В xnu существовала проблема с недостаточным разделением приоритетов. Проблема устранена путем улучшенной проверки авторизации.

    Идентификатор CVE

    CVE-2015-7046: компания Apple

  • Безопасность

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы программы.

    Описание. При квитировании SSL возникало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7073: Бенуа Фушер (Benoit Foucher) из ZeroC, Inc.

  • Безопасность

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Обработка вредоносного сертификата могла привести к выполнению произвольного кода.

    Описание. В декодере ASN.1 возникал ряд проблем, связанных с повреждением памяти. Эти проблемы были устранены путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2015-7059: Дэвид Килер (David Keeler) из Mozilla

    CVE-2015-7060: Тайсон Смит (Tyson Smith) из Mozilla

    CVE-2015-7061: Райан Сливи (Ryan Sleevi) из Google

  • Безопасность

    Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès

    Воздействие. Оценка доверия, настроенная с требованием проверки отзыва, может завершиться успешно, даже если проверка отзыва не выполнилась.

    Описание. Флаг kSecRevocationRequirePositiveResponse, указанный в спецификации, не был реализован. Проблема устранена добавлением реализации для данного флага.

    Идентификатор CVE

    CVE-2015-6997: Apple

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: