Сведения о проблемах безопасности, устраняемых обновлением ОС watchOS 4.3.1

В этом документе описаны проблемы системы безопасности, устраняемые обновлением ОС watchOS 4.3.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple. Зашифровать информацию, передаваемую в Apple, можно с помощью PGP-ключа безопасности продуктов Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

ОС watchOS 4.3.1

Дата выпуска: 29 мая 2018 г.

Bluetooth

Не затронуто: Apple Watch Series 3

Воздействие. Злоумышленник, имеющий привилегированное положение в сети, может перехватывать трафик Bluetooth.

CVE-2018-5383: Лиор Нойман (Lior Neumann) и Эли Бихам (Eli Biham)

Запись добавлена 23 июля 2018 г.

CoreGraphics

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2018-4194: Цзихуэй Лу (Jihui Lu) из подразделения Tencent KeenLab, Юй Чжоу (Yu Zhou) из Ant-financial Light-Year Security Lab

Запись добавлена 21 июня 2018 г.

Crash Reporter

Целевые продукты: все модели Apple Watch

Воздействие. Программа может получить повышенные привилегии.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки ошибок.

CVE-2018-4206: Йен Бир (Ian Beer) из Google Project Zero

FontParser

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного файла шрифта может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.

CVE-2018-4211: пользователь Proteas из группы Nirvan в Qihoo 360

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема переполнения буфера решена путем улучшенной проверки границ.

CVE-2018-4241: Йен Бир (Ian Beer) из Google Project Zero

CVE-2018-4243: Йен Бир (Ian Beer) из Google Project Zero

Ядро

Целевые продукты: все модели Apple Watch

Воздействие. Программа может выполнять произвольный код с привилегиями ядра.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2018-4249: Кевин Бэкхауз (Kevin Backhouse) из Semmle Ltd.

libxpc

Целевые продукты: все модели Apple Watch

Воздействие. Программа может получить повышенные привилегии.

Описание. Проблема с логикой устранена путем улучшенной проверки.

CVE-2018-4237: Сэмюэл Гросс (Samuel Gross, @5aelo), сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

Сообщения

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может осуществлять атаки путем подмены данных пользователя.

Описание. Проблема внедрения устранена путем улучшенной проверки ввода.

CVE-2018-4235: Ануродх Покхарел (Anurodh Pokharel) из компании Salesforce.com

Сообщения

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.

Описание. Проблема устранена путем улучшенной проверки сообщений.

CVE-2018-4240: пользователь Sriram (@Sri_Hxor) из компании PrimeFort Pvt. Ltd

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может считывать постоянный идентификатор устройства.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2018-4224: Абрахам Масри (Abraham Masri, @cheesecakeufo)

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может изменять состояние связки ключей.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2018-4225: Абрахам Масри (Abraham Masri, @cheesecakeufo)

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может считывать постоянный идентификатор учетной записи.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2018-4223: Абрахам Масри (Abraham Masri, @cheesecakeufo)

Безопасность

Целевые продукты: все модели Apple Watch

Воздействие. Локальный пользователь может просматривать конфиденциальные пользовательские данные.

Описание. Проблема с авторизацией устранена путем улучшенного управления состояниями.

CVE-2018-4226: Абрахам Масри (Abraham Masri, @cheesecakeufo)

UIKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного текстового файла может приводить к отказу в обслуживании.

Описание. Возникала проблема проверки при обработке текста. Проблема устранена путем улучшенной проверки текста.

CVE-2018-4198: Хантер Бернс (Hunter Byrnes)

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема с возникновением условия состязания устранена путем улучшенной блокировки.

CVE-2018-4192: Маркус Гасделен (Markus Gaasedelen), Ник Бернетт (Nick Burnett) и Патрик Бирнат (Patrick Biernat) из Ret2 Systems Inc, сотрудничающие с компанией Trend Micro в рамках программы Zero Day Initiative

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого могла привести к неожиданному сбою Safari.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2018-4214: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2018-4246: обнаружено с помощью инструмента OSS-Fuzz

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2018-4201: анонимный исследователь

CVE-2018-4218: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

CVE-2018-4233: Сэмюэл Гросс (Samuel Gross, @5aelo), сотрудничающий с компанией Trend Micro по программе Zero Day Initiative

WebKit

Целевые продукты: все модели Apple Watch

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2018-4222: Натали Сильванович (Natalie Silvanovich) из Google Project Zero

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: