Сведения о проблемах системы безопасности, устраненных в ОС watchOS 3

В этом документе описаны проблемы системы безопасности, устраненные в ОС watchOS 3.

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

Документы Apple о безопасности идентифицируют уязвимости с помощью кода CVE-ID, когда это возможно.

ОС watchOS 3;

Дата выпуска: 13 сентября 2016 г.

Звук

Целевые продукты: все модели Apple Watch

Воздействие. Удаленный злоумышленник может выполнять произвольный код.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2016-4702: Ёнчин Юн (YoungJin Yoon), Минщик Щин (MinSik Shin), ХоЧэ Хан (HoJae Han), Сун хён Пак (Sunghyun Park) и Тхэкён Квон (Taekyoung Kwon) из лаборатории информационной безопасности университета Ёнсе

Запись добавлена 20 сентября 2016 г.

CFNetwork

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может скомпрометировать информацию пользователя.

Описание. При разборе заголовка set-cookie возникала проблема проверки ввода. Проблема устранена путем улучшенной проверки надежности.

CVE-2016-4708: Давид Кзаган (Dawid Czagan) из Silesia Security Lab

Запись добавлена 20 сентября 2016 г.

CoreCrypto

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код.

Описание. Проблема записи за границами отведенной области памяти устранена путем удаления уязвимых фрагментов кода.

CVE-2016-4712: Герго Котелес (Gergo Koteles)

Запись добавлена 20 сентября 2016 г.

FontParser

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного шрифта может приводить к раскрытию памяти процессов.

Описание. При обработке файлов шрифтов возникала проблема переполнения буфера. Проблема устранена путем улучшенной проверки границ памяти.

CVE-2016-4718: компания Apple

Запись добавлена 20 сентября 2016 г.

GeoServices

Целевые продукты: все модели Apple Watch

Воздействие. Программа может получать доступ к конфиденциальным данным о геопозиции.

Описание. В объекте PlaceData возникала проблема с разрешениями. Проблема устранена путем улучшенной проверки разрешений.

CVE-2016-4719: Разван Деаконеску (Razvan Deaconescu), Михай Чирою (Mihai Chiroiu) из Политехнического университета Бухареста; Люк Дешотелс (Luke Deshotels), Уильям Энк (William Enck) из Университета штата Северная Каролина; Лукас Винченцо Дави (Lucas Vincenzo Davi), Ахмад-Реза Садеги (Ahmad-Reza Sadeghi) из Дармштадтского технического университета

IOAcceleratorFamily

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2016-4725: Роджер Комз (Rodger Combs) из Plex, Inc.

Запись добавлена 20 сентября 2016 г.

IOAcceleratorFamily

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2016-4726: анонимный исследователь

Запись добавлена 20 сентября 2016 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Удаленный злоумышленник может вызвать отказ в обслуживании.

Описание. Проблема обработки блокировок устранена путем улучшенной обработки блокировок.

CVE-2016-4772: Марк Хеус (Marc Heuse) из mh-sec

Запись добавлена 20 сентября 2016 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выявлять схему распределения памяти в ядре.

Описание. Ряд проблем чтения за пределами выделенной области памяти приводил к раскрытию памяти ядра. Эти проблемы были устранены путем улучшенной проверки ввода.

CVE-2016-4773: Брэндон Азад (Brandon Azad)

CVE-2016-4774: Брэндон Азад (Brandon Azad)

CVE-2016-4776: Брэндон Азад (Brandon Azad)

Запись добавлена 20 сентября 2016 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может вызвать выполнение произвольного кода с привилегиями ядра.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2016-4775: Брэндон Азад (Brandon Azad)

Запись добавлена 20 сентября 2016 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Проблема разыменования недоверенного указателя устранена путем удаления затрагиваемых фрагментов кода.

CVE-2016-4777: Люфен Ли (Lufeng Li) из группы Vulcan в Qihoo 360

Запись добавлена 20 сентября 2016 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Приложение может выполнять произвольный код с привилегиями ядра.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.

CVE-2016-4778: CESG

Запись добавлена 20 сентября 2016 г.

libxml2

Целевые продукты: все модели Apple Watch

Воздействие. В libxml2 обнаружен ряд проблем, наиболее серьезные из которых могли привести к неожиданному завершению работы программы или выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.

CVE-2016-4658: Ник Веллнхофер (Nick Wellnhofer)

CVE-2016-5131: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 20 сентября 2016 г.

Библиотека libxslt

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема повреждения памяти устранена путем улучшенной обработки обращений к памяти.

CVE-2016-4738: Ник Веллнхофер (Nick Wellnhofer)

Запись добавлена 20 сентября 2016 г.

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносное приложение может выполнять произвольный код с системными правами.

Описание. При использовании подписанных образов дисков возникала проблема проверки. Проблема устранена путем улучшенной проверки размера.

CVE-2016-4753: Марк Ментоваи (Mark Mentovai) из Google Inc.

Запись добавлена 20 сентября 2016 г.

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем повреждения памяти устранен путем улучшенной обработки обращений к памяти.

CVE-2016-4737: Apple

Запись добавлена 20 сентября 2016 г.

Диспетчер Wi-Fi

Целевые продукты: все модели Apple Watch

Воздействие. Расширения программ могут получать доступ к Интернету.

Описание. Множественные проблемы с соблюдением политики при общем доступе к Wi-Fi. Эти проблемы устранены путем улучшенной проверки авторизации.

CVE-2016-7699: Proteas из подразделения Nirvan в Qihoo 360

Запись добавлена 17 мая 2017 г.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: