Проблемы безопасности, устраняемые обновлением ОС watchOS 4.2.2

В этой статье описываются проблемы системы безопасности, устраняемые обновлением ОС watchOS 4.2.2.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

watchOS 4.2.2

Дата выпуска 23 января 2018 г.

Звук

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4094: Мини Чо (Mingi Cho), Минщик Шин (MinSik Shin), Соён Ким (Seoyoung Kim), Ёнхо Ли (Yeongho Lee) и Тхэкён Квон (Taekyoung Kwon) из отдела информационной безопасности Университета Ёнсе

Core Bluetooth

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4087: Рани Идан (Rani Idan, @raniXCH) из команды Zimperium zLabs

CVE-2018-4095: Рани Идан (Rani Idan, @raniXCH) из команды Zimperium zLabs

Графический драйвер

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4109: Адам Доненфелд (Adam Donenfeld, @doadam) из команды Zimperium zLabs

Запись добавлена 8 февраля 2018 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема инициализации памяти устранена путем улучшенной обработки памяти.

CVE-2018-4090: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной обработки памяти.

CVE-2018-4092: Штефан Эссер (Stefan Esser) из Antid0te UG

Запись изменена 8 февраля 2018 г.

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Вредоносная программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4082: Расс Кокс (Russ Cox) из Google

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема с проверкой устранена путем улучшенной очистки ввода.

CVE-2018-4093: Янн Хорн (Jann Horn) из подразделения Google Project Zero

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4189: анонимный исследователь

Запись добавлена 2 мая 2018 г.

LinkPresentation

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного текстового сообщения может приводить к отказу в обслуживании в программе.

Описание. Проблема исчерпания ресурсов устранена путем улучшенной проверки ввода.

CVE-2018-4100: Абрахам Масри (Abraham Masri, @cheesecakeufo)

QuartzCore

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. При обработке веб-содержимого возникала проблема повреждения памяти. Эта проблема устранена путем улучшенной проверки ввода.

CVE-2018-4085: Ret2 Systems Inc. в рамках сотрудничества с компанией Trend Micro по программе Zero Day Initiative

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. К сертификату могут некорректно применяться ограничения имени

Описание. При обработке ограничений имени возникала проблема с оценкой сертификата. Проблема решена путем улучшенной оценки надежности сертификатов.

CVE-2018-4086: Иэн Хэйкен (Ian Haken) из Netflix

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4088: Чонхун Шин (Jeonghoon Shin) из Theori

CVE-2018-4096: обнаружено с помощью инструмента OSS-Fuzz

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: