Проблемы безопасности, устраненные в ОС watchOS 2.1
В этом документе описаны проблемы системы безопасности, устраненные в ОС watchOS 2.1.
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.
Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.
Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.
Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.
watchOS 2.1
AppSandbox
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа может оставлять открытым доступ к Контактам после отзыва доступа.
Описание. Имела место проблема при обработке жестких ссылок в песочнице. Эта проблема решена посредством улучшения процедуры жесткого связывания в песочнице программы.
Идентификатор CVE
CVE-2015-7001: Разван Деаконеску (Razvan Deaconescu) и Михай Бучикою (Mihai Bucicoiu) из Политехнического университета Бухареста; Люк Дешотелс (Luke Deshotels) и Уильям Энк (William Enck) из Университета штата Северная Каролина; Лукас Винченцо Дави (Lucas Vincenzo Davi) и Ахмад-Реза Садеги (Ahmad-Reza Sadeghi) из Дармштадтского технического университета.
Сжатие
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.
Описание. В zlib возникала проблема неинициализированного доступа к памяти. Проблема устранена путем улучшенной инициализации памяти и дополнительной проверки потоков zlib.
Идентификатор CVE
CVE-2015-7054: j00ru
CoreGraphics
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Обработка вредоносного файла шрифта может привести к выполнению произвольного кода.
Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Проблема устранена путем улучшенной проверки ввода.
Идентификатор CVE
CVE-2015-7105: Джон Вилламил (John Villamil [@day6reak]), подразделение Yahoo Pentest
Воспроизведение CoreMedia
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.
Описание. При обработке нестандартных медиафайлов существовала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7075
dyld
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В dyld существовала проблема проверки пути. Проблема устранена путем улучшенной очистки среды.
Идентификатор CVE
CVE-2015-7072: компания Apple
FontParser
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Обработка вредоносного файла шрифта может привести к выполнению произвольного кода.
Описание. При обработке файлов шрифтов возникал ряд проблем повреждения памяти. Проблемы были устранены путем улучшенной проверки границ.
Идентификатор CVE
CVE-2015-6978: Яанус Кп (Jaanus Kp) из компании Clarified Security, работающий с компанией HP по программе Zero Day Initiative.
GasGauge
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В ядре существовало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-6979: PanguTeam
ImageIO
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Обработка вредоносного изображения могла приводить к выполнению произвольного кода.
Описание. Ошибка в ImageIO приводила к повреждению содержимого памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7053: компания Apple
IOHIDFamily
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. В интерфейсе IOHIDFamily существовал ряд ошибок, приводящих к повреждению содержимого памяти. Эти проблемы были устранены путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7111: beist и ABH из BoB
CVE-2015-7112: Иэн Бир (Ian Beer) из подразделения Google Project Zero
IOKit SCSI
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.
Описание. При обработке определенного типа клиентов-пользователей возникала проблема разыменования нулевого указателя. Проблема устранена путем улучшенной проверки.
Идентификатор CVE
CVE-2015-7068: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Локальная программа может вызвать отказ в обслуживании.
Описание. Ряд проблем отказа в обслуживании устранен путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7040: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.
CVE-2015-7041: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.
CVE-2015-7042: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.
CVE-2015-7043: Тарджей Мандт (Tarjei Mandt) (@kernelpool)
Ядро
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.
Описание. Возникала проблема при разборе сообщений mach. Эта проблема решена путем улучшенной проверки сообщений mach.
Идентификатор CVE
CVE-2015-7047: Иэн Бир (Ian Beer) из подразделения Google Project Zero
Ядро
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.
Описание. В ядре возникал ряд проблем, связанных с повреждением памяти. Эти проблемы были устранены путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7083: Иэн Бир (Ian Beer) из подразделения Google Project Zero
CVE-2015-7084: Иэн Бир (Ian Beer) из подразделения Google Project Zero
LaunchServices
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.
Описание. При обработке вредоносных файлов plist возникала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7113: Оливье Гогель (Olivier Goguel) из Free Tools Association
libarchive
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.
Описание. При обработке архивов возникала проблема повреждения памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2011-2895: @practicalswift
libc
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Обработка вредоносного пакета могла приводить к выполнению произвольного кода.
Описание. В стандартной библиотеке C возникал ряд проблем переполнения буфера. Проблемы были устранены путем улучшенной проверки границ.
Идентификатор CVE
CVE-2015-7038: Брайан Уэллс (Brian D. Wells) из E. W. Scripps, Нараян Субраманиан (Narayan Subramanian) из Symantec Corporation/Veritas LLC
CVE-2015-7039: Максимилиан Арцемовиц (Maksymilian Arciemowicz) из CXSECURITY.COM
Запись обновлена 3 марта 2017 г.
mDNSResponder
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Локальная программа может вызвать отказ в обслуживании.
Описание. Проблема разыменования нулевого указателя решена посредством улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7988: Александр Хели (Alexandre Helie)
OpenGL
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Посещение вредоносного веб-сайта может привести к выполнению произвольного кода.
Описание. В OpenGL возникал ряд проблем, приводящих к повреждению памяти. Эти проблемы были устранены путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7064: компания Apple
CVE-2015-7066: Тунбо Ло (Tongbo Luo) и Бо Цюй (Bo Qu) из Palo Alto Networks
Sandbox
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Вредоносная программа с привилегиями пользователя root могла обходить технологию случайного расположения в адресном пространстве ядра (ASLR).
Описание. В xnu существовала проблема с недостаточным разделением приоритетов. Проблема устранена путем улучшенной проверки авторизации.
Идентификатор CVE
CVE-2015-7046: компания Apple
Безопасность
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Удаленный злоумышленник может выполнить произвольный код или вызвать неожиданное завершение работы программы.
Описание. При квитировании SSL возникало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.
Идентификатор CVE
CVE-2015-7073: Бенуа Фушер (Benoit Foucher) из ZeroC, Inc.
Безопасность
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Обработка вредоносного сертификата могла привести к выполнению произвольного кода.
Описание. В декодере ASN.1 возникал ряд проблем, связанных с повреждением памяти. Эти проблемы были устранены путем улучшенной проверки ввода.
Идентификатор CVE
CVE-2015-7059: Дэвид Килер (David Keeler) из Mozilla
CVE-2015-7060: Тайсон Смит (Tyson Smith) из Mozilla
CVE-2015-7061: Райан Сливи (Ryan Sleevi) из Google
Безопасность
Доступно для Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermès
Воздействие. Оценка доверия, настроенная с требованием проверки отзыва, может завершиться успешно, даже если проверка отзыва не выполнилась.
Описание. Флаг kSecRevocationRequirePositiveResponse, указанный в спецификации, не был реализован. Проблема устранена добавлением реализации для данного флага.
Идентификатор CVE
CVE-2015-6997: Apple
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.