Сведения о проблемах системы безопасности, устраненных в ОС watchOS 3

В этом документе описаны проблемы системы безопасности, устраненные в ОС watchOS 3.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

ОС watchOS 3;

Дата выпуска: 13 сентября 2016 г.

Звук

Доступно для: всех моделей Apple Watch

Воздействие. Удаленный злоумышленник может выполнять произвольный код.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4702: Ёнчин Юн (YoungJin Yoon), Минщик Щин (MinSik Shin), ХоЧэ Хан (HoJae Han), Сун хён Пак (Sunghyun Park) и Тхэкён Квон (Taekyoung Kwon) из лаборатории информационной безопасности университета Ёнсе

Запись добавлена 20 сентября 2016 г.

CFNetwork

Доступно для: всех моделей Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может привести к раскрытию информации пользователя.

Описание. При разборе заголовка set-cookie возникала проблема проверки ввода. Проблема устранена путем улучшенной проверки надежности.

CVE-2016-4708: Давид Кзаган (Dawid Czagan) из Silesia Security Lab

Запись добавлена 20 сентября 2016 г.

CoreCrypto

Доступно для: всех моделей Apple Watch

Воздействие. Программа может выполнять произвольный код.

Описание. Проблема записи за границами отведенной области памяти устранена путем удаления уязвимых фрагментов кода.

CVE-2016-4712: Герго Котелес (Gergo Koteles)

Запись добавлена 20 сентября 2016 г.

FontParser

Доступно для: всех моделей Apple Watch

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. При обработке файлов шрифтов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2016-4718: компания Apple

Запись добавлена 20 сентября 2016 г.

Службы геолокации

Доступно для: всех моделей Apple Watch

Воздействие. Любая программа может получить доступ к конфиденциальным данным о геопозиции.

Описание. В объекте PlaceData возникала проблема с разрешениями. Проблема устранена путем улучшенной проверки разрешений.

CVE-2016-4719: Разван Деаконеску (Razvan Deaconescu), Михай Чирою (Mihai Chiroiu) из Политехнического университета Бухареста; Люк Дешотелс (Luke Deshotels), Уильям Энк (William Enck) из Университета штата Северная Каролина; Лукас Винченцо Дави (Lucas Vincenzo Davi), Ахмад-Реза Садеги (Ahmad-Reza Sadeghi) из Дармштадтского технического университета

IOAcceleratorFamily

Доступно для: всех моделей Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема повреждения памяти устранена путем улучшенной проверки ввода.

CVE-2016-4725: Роджер Комз (Rodger Combs) из Plex, Inc.

Запись добавлена 20 сентября 2016 г.

IOAcceleratorFamily

Доступно для: всех моделей Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4726: анонимный исследователь

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: всех моделей Apple Watch

Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

Описание. Проблема обработки блокировок устранена путем улучшенной обработки блокировок.

CVE-2016-4772: Марк Хеус (Marc Heuse) из mh-sec

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: всех моделей Apple Watch

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Ряд проблем чтения за пределами выделенной области памяти приводил к утечке памяти ядра. Эти проблемы были устранены путем улучшенной проверки ввода.

CVE-2016-4773: Брэндон Азад (Brandon Azad)

CVE-2016-4774: Брэндон Азад (Brandon Azad)

CVE-2016-4776: Брэндон Азад (Brandon Azad)

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: всех моделей Apple Watch

Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4775: Брэндон Азад (Brandon Azad)

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: всех моделей Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема разыменования недоверенного указателя устранена путем удаления поврежденных фрагментов кода.

CVE-2016-4777: Люфен Ли (Lufeng Li) из подразделения Qihoo 360 Vulcan

Запись добавлена 20 сентября 2016 г.

Ядро

Доступно для: всех моделей Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4778: CESG

Запись добавлена 20 сентября 2016 г.

libxml2

Доступно для: всех моделей Apple Watch

Воздействие. В libxml2 обнаружен ряд проблем, наиболее серьезные из которых могли привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4658: Ник Веллнхофер (Nick Wellnhofer)

CVE-2016-5131: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 20 сентября 2016 г.

Библиотека libxslt

Доступно для: всех моделей Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки памяти.

CVE-2016-4738: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 20 сентября 2016 г.

Безопасность

Доступно для: всех моделей Apple Watch

Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

Описание. При использовании подписанных образов дисков возникала проблема проверки. Проблема устранена путем улучшенной проверки размера.

CVE-2016-4753: Марк Ментоваи (Mark Mentovai) из Google Inc.

Запись добавлена 20 сентября 2016 г.

WebKit

Доступно для: всех моделей Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки памяти.

CVE-2016-4737: Apple

Запись добавлена 20 сентября 2016 г.

WiFi Manager

Доступно для: всех моделей Apple Watch

Воздействие. Расширения программ могут получать доступ к Интернету.

Описание. Множественные проблемы с соблюдением политики при общем доступе к WiFi. Эти проблемы устранены путем улучшенной проверки авторизации.

CVE-2016-7699: Proteas из подразделения Qihoo 360 Nirvan

Запись добавлена 17 мая 2017 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: