Проблемы системы безопасности, устраняемые обновлением ОС watchOS 4

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС watchOS 4.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

watchOS 4

Дата выпуска: 19 сентября 2017 г.

802.1X

Целевые продукты: все модели Apple Watch

Воздействие. Злоумышленник может использовать уязвимость протокола TLS 1.0.

Описание. Проблема безопасности протокола устранена путем активации протоколов TLS 1.1 и TLS 1.2.

CVE-2017-13832: Даг Вусслер (Doug Wussler) из университета штата Флорида

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

CFNetwork

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13829: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative 

CVE-2017-13833: Никлас Баумштарк (Niklas Baumstark) и Самуэль Гро (Samuel Gro), сотрудничающие с Trend Micro по программе Zero Day Initiative

Запись добавлена 10 ноября 2017 г.

Прокси-серверы CFNetwork

Целевые продукты: все модели Apple Watch

Воздействие. Злоумышленник с преимущественным положением в сети может вызывать отказ в обслуживании.

Описание. Ряд проблем с отказом в обслуживании устранен путем улучшенной обработки памяти.

CVE-2017-7083: Абхинав Бансал (Abhinav Bansal) из Zscaler Inc.

Запись добавлена 25 сентября 2017 г.

CFString

Целевые продукты: все модели Apple Watch

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13821: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

CoreAudio

Целевые продукты: все модели Apple Watch

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем обновления Opus до версии 1.1.4.

CVE-2017-0381: пользователь V.E.O (@VYSEa), отдел исследования мобильных угроз Trend Micro

Запись добавлена 25 сентября 2017 г.

CoreText

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-13825: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

file

Целевые продукты: все модели Apple Watch

Воздействие. Обнаружен ряд проблем в file.

Описание. Ряд проблем устранен путем обновления до версии 5.31.

CVE-2017-13815

Запись добавлена 31 октября 2017 г.

Шрифты

Целевые продукты: все модели Apple Watch

Воздействие. Анализ ненадежного текста может приводить к подмене.

Описание. Проблема с единообразием пользовательского интерфейса устранена путем улучшенного управления состояниями.

CVE-2017-13828: Леонард Грей (Leonard Grey) и Роберт Сесек (Robert Sesek) из Google Chrome

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

HFS

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13830: Сергей Шумило (Sergej Schumilo) из Рурского университета в Бохуме

Запись добавлена 31 октября 2017 г.

ImageIO

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного изображения может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2017-13814: Австралийский центр информационной безопасности, отдел обработки сигналов

Запись добавлена 31 октября 2017 г.

ImageIO

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного изображения может приводить к отказу в обслуживании.

Описание. При обработке образов дисков возникала проблема с раскрытием информации. Проблема устранена путем улучшенного управления памятью.

CVE-2017-13831: Глен Кармайкл (Glen Carmichael)

Запись добавлена 31 октября 2017 г., обновлена 10 ноября 2017 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может считывать память ядра.

Описание. Возникала проблема чтения за пределами выделенной области памяти, приводившая к утечке памяти ядра. Проблема устранена путем улучшенной проверки ввода.

CVE-2017-13817: Максим Виллард (Maxime Villard, m00nbsd)

Запись добавлена 31 октября 2017 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-13818: национальный центр информационной безопасности Великобритании (National Cyber Security Centre, NCSC)

CVE-2017-13836: анонимный исследователь, анонимный исследователь

CVE-2017-13841: анонимный исследователь

CVE-2017-13840: анонимный исследователь

CVE-2017-13842: анонимный исследователь

CVE-2017-13782: анонимный исследователь

Запись добавлена 31 октября 2017 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13843: анонимный исследователь, анонимный исследователь

Запись добавлена 31 октября 2017 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7114: Алекс Пласкетт (Alex Plaskett) из MWR InfoSecurity

Запись добавлена 25 сентября 2017 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-13854: пользователь shrek_wzw из группы Nirvan в Qihoo 360

Запись добавлена 2 ноября 2017 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного бинарного файла mach может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2017-13834: Максим Виллард (Maxime Villard, m00nbsd)

Запись добавлена 10 ноября 2017 г.

libarchive

Целевые продукты: все модели Apple Watch

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. Проблема переполнения буфера устранена путем улучшенной обработки памяти.

CVE-2017-13813: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-13816: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 31 октября 2017 г.

libarchive

Целевые продукты: все модели Apple Watch

Воздействие. Распаковка вредоносного архива может приводить к выполнению произвольного кода.

Описание. В libarchive возникал ряд проблем, приводящих к повреждению данных в памяти. Эти проблемы были устранены путем улучшенной проверки ввода.

CVE-2017-13812: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 31 октября 2017 г.

libc

Целевые продукты: все модели Apple Watch

Воздействие. Удаленный злоумышленник может вызывать отказ в обслуживании.

Описание. Проблема с исчерпанием ресурсов в glob() устранена путем оптимизации алгоритма.

CVE-2017-7086: Расс Кокс (Russ Cox) из Google

Запись добавлена 25 сентября 2017 г.

libc

Целевые продукты: все модели Apple Watch

Воздействие. Программа может вызывать отказ в обслуживании.

Описание. Проблема с потреблением памяти устранена путем улучшенной обработки памяти.

CVE-2017-1000373

Запись добавлена 25 сентября 2017 г.

libexpat

Целевые продукты: все модели Apple Watch

Воздействие. Обнаружен ряд проблем в expat.

Описание. Ряд проблем устранен путем обновления до версии 2.2.1.

CVE-2016-9063

CVE-2017-9233

Запись добавлена 25 сентября 2017 г.

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Отозванный сертификат может становиться доверенным.

Описание. При обработке данных об отзывах возникала проблема с их проверкой. Эта проблема устранена путем улучшенной проверки.

CVE-2017-7080: анонимный исследователь, Свен Дримекер (Sven Driemecker) из adesso mobile solutions gmbh, анонимный исследователь, Рун Дарруд (Rune Darrud, @theflyingcorpse) из коммуны Берум

Запись добавлена 25 сентября 2017 г.

SQLite

Целевые продукты: все модели Apple Watch

Воздействие. Обнаружен ряд проблем в SQLite.

Описание. Ряд проблем устранен путем обновления до версии 3.19.3.

CVE-2017-10989: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7128: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7129: обнаружено с помощью инструмента OSS-Fuzz

CVE-2017-7130: обнаружено с помощью инструмента OSS-Fuzz

Запись добавлена 25 сентября 2017 г.

SQLite

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7127: анонимный исследователь

Запись добавлена 25 сентября 2017 г.

Wi-Fi

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносный код, выполняющийся в микросхеме Wi-Fi, может запускать произвольный код с привилегиями ядра в процессоре программ.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2017-7103: Гэл Бениамини (Gal Beniamini) из Google Project Zero

CVE-2017-7105: Гэл Бениамини (Gal Beniamini) из Google Project Zero

CVE-2017-7108: Гэл Бениамини (Gal Beniamini) из Google Project Zero

CVE-2017-7110: Гэл Бениамини (Gal Beniamini) из Google Project Zero

CVE-2017-7112: Гэл Бениамини (Gal Beniamini) из Google Project Zero

Wi-Fi

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносный код, выполняющийся в микросхеме Wi-Fi, может считывать память ядра с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2017-7116: Гэл Бениамини (Gal Beniamini) из Google Project Zero

zlib

Целевые продукты: все модели Apple Watch

Воздействие. Обнаружен ряд проблем в zlib.

Описание. Ряд проблем устранен путем обновления до версии 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Запись добавлена 25 сентября 2017 г.

Дополнительные благодарности

Безопасность

Выражаем благодарность за помощь Абхинаву Бансалу (Abhinav Bansal) из Zscaler, Inc.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: