Сведения о проблемах безопасности, устраняемых обновлением watchOS 5.2.1

В этом документе описываются проблемы системы безопасности, устраняемые обновлением watchOS 5.2.1.

Сведения об обновлениях системы безопасности Apple

В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.

В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.

Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.

watchOS 5.2.1

Дата выпуска: 13 мая 2019 г.

AppleFileConduit

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8593: Дани Лисянский (Dany Lisiansky, @DanyL931)

CoreAudio

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Обработка вредоносного файла фильма может приводить к выполнению произвольного кода.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8585: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

Образы дисков

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Вредоносная программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-8560: Никита Пупышев (Nikita Pupyshev) из Московского государственного технического университета им. Н. Э. Баумана

Ядро

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Вредоносная программа может выполнять произвольный код с системными привилегиями.

Описание. Проблема с использованием памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2019-8605: Нед Уильямсон (Ned Williamson), сотрудничающий с подразделением Google Project Zero

Ядро

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Локальный пользователь может вызывать неожиданное завершение работы системы или считывать память ядра

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки границ.

CVE-2019-8576: Брэндон Азад (Brandon Azad) из подразделения Google Project Zero, Унхо Чжанг (Unho Jang) и Ханул Чой (Hanul Choi) из LINE Security Team

Ядро

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Программа может вызвать неожиданное завершение работы системы или прочитать данные из памяти ядра.

Описание. Проблема смешения типов устранена путем улучшенной обработки памяти.

CVE-2019-8591: Нед Уильямсон (Ned Williamson), сотрудничающий с подразделением Google Project Zero

Почта

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Обработка вредоносного сообщения может приводить к отказу в обслуживании.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2019-8626: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero

Платформа сообщений программы «Почта»

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Удаленный злоумышленник может вызвать выполнение произвольного кода.

Описание. Проблема с использованием памяти после ее освобождения устранена путем улучшенного управления памятью.

CVE-2019-8613: Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero

MobileInstallation

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Локальный пользователь может изменять защищенные участки файловой системы.

Описание. При обработке символьных ссылок возникала проблема проверки. Проблема устранена путем улучшенной проверки символьных ссылок.

CVE-2019-8568: Дани Лисянский (Dany Lisiansky, @DanyL931)

MobileLockdown

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Вредоносная программа могла повышать уровень привилегий до корневого пользователя.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2019-8637: Дани Лисянский (Dany Lisiansky, @DanyL931)

SQLite

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Программа может получить повышенные привилегии.

Описание. Проблема проверки ввода устранена путем улучшенной обработки памяти.

CVE-2019-8577: Омер Галл (Omer Gull) из Checkpoint Research

SQLite

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Вредоносный SQL-запрос может приводить к выполнению произвольного кода.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки ввода.

CVE-2019-8600: Омер Галл (Omer Gull) из Checkpoint Research

SQLite

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Вредоносная программа может считывать данные из области памяти с ограниченным доступом.

Описание. Проблема проверки ввода устранена путем улучшенной проверки ввода.

CVE-2019-8598: Омер Галл (Omer Gull) из Checkpoint Research

SQLite

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Вредоносная программа может повышать уровень привилегий.

Описание. Проблема с повреждением данных в памяти устранена путем удаления уязвимого кода.

CVE-2019-8602: Омер Галл (Omer Gull) из Checkpoint Research

sysdiagnose

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Программа может выполнять произвольный код с системными правами.

Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.

CVE-2019-8574: Дэйтон Пидхерни (Dayton Pidhirney, @_watbulb) из Seekintoo (@seekintoo)

WebKit

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к раскрытию памяти процессов.

Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.

CVE-2019-8607: Цзюнхо Цзянь (Junho Jang) и Ханул Чой (Hanul Choi) из LINE Security Team

WebKit

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.

Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.

CVE-2019-8583: пользователь sakura из отдела Xuanwu Lab компании Tencent, пользователь jessica (@babyjess1ca_) из отдела Keen Lab компании Tencent и пользователь dwfault, работающий в подразделении ADLab компании Venustech

CVE-2019-8601: пользователь Fluoroacetate, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative

CVE-2019-8622: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero

CVE-2019-8623: Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero

Wi-Fi

Целевые продукты: Apple Watch Series 1 и более поздние модели

Воздействие. Устройство может быть пассивно отслежено по MAC-адресу в сети Wi-Fi.

Описание. Проблема с конфиденциальностью пользователя устранена посредством удаления транслированного MAC-адреса.

CVE-2019-8620: Давид Крайтшманн (David Kreitschmann) и Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете

Дополнительные благодарности

Clang

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.

CoreFoundation

Выражаем благодарность за помощь пользователям Vozzie, Rami и m4bln, а также Сьянкьяну Чжангу (Xiangqian Zhang) и Хуимингу Лью (Huiming Liu) из отдела Xuanwu Lab компании Tencent.

Ядро

Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero и анонимному исследователю.

MediaLibrary

Выражаем благодарность за помощь Ангелю Рамиресу (Angel Ramirez), Мину Чженгу (Min Zheng, Spark) и Сьялонгу Баю (Xiaolong Bai) из компании Alibaba Inc.

MobileInstallation

Выражаем благодарность за помощь Йигиту Кану Йилмазу (Yiğit Can YILMAZ, @yilmazcanyigit).

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: