Сведения о проблемах безопасности, устраненных в ОС Watch OS 1.0.1

В настоящем документе описываются проблемы системы безопасности, устраненные в ОС Watch OS 1.0.1.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

Watch OS 1.0.1

  • Политика доверия к сертификатам

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Обновление политики доверия к сертификатам.

    Описание. Политика доверия к сертификатам была обновлена. Полный список сертификатов можно просмотреть в статье https://support.apple.com/kb/HT204873?viewlocale=ru_RU

  • FontParser

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Обработка вредоносного файла шрифта могла привести к выполнению произвольного кода.

    Описание. При обработке файлов шрифтов существовала проблема повреждения данных в памяти. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2015-1093: Марк Шёнефельд (Marc Schoenefeld)

  • Платформа

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. С помощью программы, использующей NSXMLParser, можно вызвать утечку информации.

    Описание. При обработке XML в NSXMLParser возникала проблема с элементом внешней системы XML. Проблема устранена блокировкой загрузки внешних записей в исходные источники.

    Идентификатор CVE

    CVE-2015-1092: Икуйя Фукумото (Ikuya Fukumoto)

  • IOHIDFamily

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

    Описание. В IOHIDFamily существовала проблема, которая приводила к раскрытию содержимого памяти ядра. Проблема устранена путем улучшенной проверки границ памяти.

    Идентификатор CVE

    CVE-2015-1096: Илья Ван Спрундел (Ilja van Sprundel) из IOActive

  • IOAcceleratorFamily

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.

    Описание. В IOAcceleratorFamily существовала проблема, которая приводила к раскрытию содержимого памяти ядра. Проблема устранена путем удаления ненужного кода.

    Идентификатор CVE

    CVE-2015-1094: Cererdlong из отдела безопасности мобильных устройств в Alibaba

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносная программа может вызвать отказ системы в обслуживании.

    Описание. Имело место состояние гонки в системном вызове setreuid ядра. Эта проблема устранена путем улучшенного управления состоянием.

    Идентификатор CVE

    CVE-2015-1099: Марк Ментоваи (Mark Mentovai) из Google Inc.

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник с преимущественным положением в сети может перенаправить трафик пользователя на произвольные узлы

    Описание. Переадресации ICMP были по умолчанию включены. Эта проблема решена путем отключения переадресаций ICMP.

    Идентификатор CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие: удаленный злоумышленник может вызвать отказ в обслуживании.

    Описание. При обработке внеполосных данных TCP возникала проблема несоответствия состояний. Эта проблема устранена путем улучшенного управления состоянием.

    Идентификатор CVE

    CVE-2015-1105: Кентон Варда (Kenton Varda) из Sandstorm.io

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносная программа могла расширить свои права с использованием скомпрометированной службы, предназначенной для выполнения со сниженными привилегиями

    Описание. Системным вызовам setreuid и setregid не удавалось снижать привилегии навсегда. Эта проблема решена путем правильного снижения привилегий.

    Идентификатор CVE

    CVE-2015-1117: Марк Ментоваи (Mark Mentovai) из Google Inc.

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Удаленный злоумышленник может обойти сетевые фильтры

    Описание. Система обрабатывала некоторые пакеты IPv6 из удаленных сетевых интерфейсов как локальные пакеты. Проблема решена путем отклонения этих пакетов.

    Идентификатор CVE

    CVE-2015-1104: Штефан Рёттгер (Stephen Roettger) из отдела обеспечения безопасности Google

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может вызвать отказ в обслуживании.

    Описание. При обработке заголовков TCP возникало несоответствие состояний. Проблема устранена путем улучшенного управления состояниями.

    Идентификатор CVE

    CVE-2015-1102: Андрей Худяков (Andrey Khudyakov) и Максим Журавлев (Maxim Zhuravlev) из Лаборатории Касперского

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносная программа может вызывать неожиданное завершение работы системы и считывать память ядра

    Описание. В ядре возникала проблема нарушения доступа к памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1100: Максим Виллард (Maxime Villard) из m00nbsd

  • Ядро

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

    Описание. В ядре существовало повреждение памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1101: lokihardt@ASRT, сотрудничающий с компанией HP по программе Zero Day Initiative

  • Secure Transport

    AppleCare для Apple Watch Sport, Apple Watch и Apple Watch Edition

    Воздействие. Злоумышленник с преимущественным положением в сети может перехватывать подключения SSL/TLS.

    Описание. Протокол Secure Transport принимал краткосрочные ключи RSA, обычно используемые только в комплектах шифров RSA на уровне экспорта. Эта проблема, также известная как FREAK, затрагивала только подключения к серверам, которые поддерживают комплекты шифров RSA на уровне экспорта, и устранена путем удаления поддержки краткосрочных ключей RSA.

    Идентификатор CVE

    CVE-2015-1067: Бенджамин Бордуш (Benjamin Beurdouche), Картикеян Бхаргаван (Karthikeyan Bhargavan), Антуан Делиньят-Лаво (Antoine Delignat-Lavaud), Альфредо Пиронти (Alfredo Pironti) и Жан Карим Зинзиндоху (Jean Karim Zinzindohoue) из Prosecco в Inria Paris

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: