Проблемы безопасности, устраняемые обновлением watchOS 2.2

В этом документе описаны проблемы системы безопасности, устраненные в ОС watchOS 2.2.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах в системе безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет полностью завершено изучение соответствующей проблемы и не будут опубликованы все необходимые исправления и выпуски. Дополнительные сведения об обеспечении безопасности продуктов Apple см. на веб-сайте Безопасность продуктов Apple.

Информацию об обеспечении безопасности продуктов Apple с помощью PGP-ключа см. в статье Использование PGP-ключа безопасности продуктов Apple.

Там, где это возможно, для ссылки на дополнительную информацию об уязвимостях используются идентификаторы CVE.

Сведения о других обновлениях системы безопасности см. в статье Обновления системы безопасности Apple.

watchOS 2.2

  • Образы дисков

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

    Описание. При обработке образов дисков могло происходить повреждение содержимого памяти. Проблема устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1717: Фрэнк Грациано (Frank Graziano) из подразделения Yahoo! Pentest

  • FontParser

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Открытие вредоносного файла PDF может привести к неожиданному завершению работы программы или выполнению произвольного кода.

    Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1740: HappilyCoded (пользователи ant4g0nist и r3dsm0k3) в сотрудничестве с Trend Micro по программе Zero Day Initiative (ZDI)

  • HTTPProtocol

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Удаленный злоумышленник мог выполнять произвольный код.

    Описание. В версиях nghttp2 до 1.6.0 существовало несколько уязвимостей, наиболее серьезные из которых могли приводить к удаленному выполнению произвольного кода. Проблемы решены путем обновления nghttp2 до версии 1.6.0.

    Идентификатор CVE

    CVE-2015-8659

  • IOHIDFamily

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

    Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1719: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • IOHIDFamily

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выявлять схему распределения памяти в ядре.

    Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1748: Брэндон Азад (Brandon Azad)

  • Ядро

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

    Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1720: Иэн Бир (Ian Beer) из подразделения Google Project Zero

    CVE-2016-1721: Иэн Бир (Ian Beer) из подразделения Google Project Zero и Цзюй Чжу (Ju Zhu) из Trend Micro

    CVE-2016-1754: Лю Фен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan.

    CVE-2016-1755: Иэн Бир (Ian Beer) из подразделения Google Project Zero

  • Ядро

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

    Описание. Проблема использования памяти после ее освобождения решена путем улучшенного управления памятью.

    Идентификатор CVE

    CVE-2016-1750: CESG

  • Ядро

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

    Описание. Ряд проблем с переполнением целочисленного типа устранен путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2016-1753: Цзюйвэй Линь (Juwei Lin) из Trend Micro в сотрудничестве с компанией Trend Micro по программе Zero Day Initiative (ZDI)

  • Ядро

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может обойти подписание кода.

    Описание. Имела место проблема с разрешениями, в результате которой неправильно предоставлялось разрешение на выполнение. Проблема устранена путем улучшенной проверки разрешений.

    Идентификатор CVE

    CVE-2016-1751: Эрик Монти (Eric Monti) из Square Mobile Security

  • Ядро

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может вызвать отказ в обслуживании.

    Описание. Проблема отказа в обслуживании устранена путем усовершенствования проверки.

    Идентификатор CVE

    CVE-2016-1752: CESG

  • libxml2

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Обработка вредоносного файла XML могла приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-1819

    CVE-2015-5312: Дэвид Драйсдейл (David Drysdale) из Google

    CVE-2015-7499

    CVE-2015-7500: Константин Серебряный (Kostya Serebryany) из Google

    CVE-2015-7942: Константин Серебряный (Kostya Serebryany) из Google

    CVE-2015-8035: пользователь gustavo.grieco

    CVE-2015-8242: Хью Дэвенпорт (Hugh Davenport)

    CVE-2016-1761: пользователь wol0xff в сотрудничестве с Trend Micro по программе Zero Day Initiative (ZDI)

    CVE-2016-1762

  • Библиотека libxslt

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Обработка вредоносного файла XML могла приводить к неожиданному завершению программы или выполнению произвольного кода.

    Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2015-7995: puzzor 

  • Сообщения

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Злоумышленник, который способен обойти систему закрепления сертификатов Apple, перехватывать подключения TLS, вставлять сообщения и записывать сообщения с зашифрованными вложениями, может читать вложения.

    Описание. Криптографическая проблема устранена путем отклонения повторяющихся сообщений на стороне клиента.

    Идентификатор CVE

    CVE-2016-1788: Кристина Гарман (Christina Garman), Мэттью Грин (Matthew Green), Габриэль Капчук (Gabriel Kaptchuk), Иэн Миерс (Ian Miers) и Майкл Рашенан (Michael Rushanan) из Университета Джона Хопкинса

  • Безопасность

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Обработка вредоносного сертификата могла привести к выполнению произвольного кода.

    Описание. В декодере ASN.1 существовало повреждение памяти. Проблема устранена путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2016-1950: Фрэнсис Гэбриэл (Francis Gabriel) из Quarkslab

  • Системный журнал

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

    Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1722: Джошуа Дж. Дрейк (Joshua J. Drake) и Никиас Бассен (Nikias Bassen) из Zimperium zLabs

  • TrueTypeScaler

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Обработка вредоносного файла шрифта могла привести к выполнению произвольного кода.

    Описание. При обработке файлов шрифтов существовала проблема повреждения памяти. Проблема устранена путем улучшенной проверки ввода.

    Идентификатор CVE

    CVE-2016-1775: пользователь 0x1byte в сотрудничестве с Trend Micro по программе Zero Day Initiative (ZDI)

  • WebKit

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Обработка вредоносного веб-содержимого может привести к выполнению произвольного кода

    Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-1723: компания Apple

    CVE-2016-1724: компания Apple

    CVE-2016-1725: компания Apple

    CVE-2016-1726: компания Apple

    CVE-2016-1727: компания Apple

  • Wi-Fi

    Доступно для: Apple Watch Sport, Apple Watch, Apple Watch Edition и Apple Watch Hermes

    Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может выполнить произвольный код.

    Описание. Возникала проблема с проверкой фреймов и повреждением памяти для данного объекта ethertype. Проблема решена путем дополнительной проверки ethertype и улучшенной обработки памяти.

    Идентификатор CVE

    CVE-2016-0801: анонимный исследователь

    CVE-2016-0802: анонимный исследователь

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: