Сведения об обновлениях системы безопасности Apple
В целях защиты клиентов компания Apple не разглашает информацию о проблемах безопасности, не подтверждает ее и не участвует в ее обсуждении до тех пор, пока не будет завершено изучение соответствующей проблемы и не будут опубликованы исправления или новые выпуски. Список последних выпусков представлен на странице Обновления системы безопасности Apple.
В документах Apple о безопасности уязвимости идентифицируются с помощью кода CVE-ID, когда это возможно.
Дополнительную информацию о безопасности см. на странице Безопасность продуктов Apple.
watchOS 6
Дата выпуска: 19 сентября 2019 г.
Звук
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного аудиофайла может приводить к выполнению произвольного кода.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2019-8706: Ю Чжоу (Yu Zhou) из отдела безопасности Ant-financial Light-Year
Запись добавлена 29 октября 2019 г.
Звук
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного аудиофайла может приводить к раскрытию области памяти с ограниченным доступом.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8850: пользователь Anonymous, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 4 декабря 2019 г.
CFNetwork
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к атаке с использованием межсайтовых сценариев.
Описание. Проблема устранена путем улучшенных проверок.
CVE-2019-8753: Лукаш Пилорц (Łukasz Pilorz) из польского подразделения Standard Chartered GBS
Запись добавлена 29 октября 2019 г.
CoreAudio
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного фильма может привести к раскрытию памяти процесса.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной проверки.
CVE-2019-8705: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 8 октября 2019 г.
CoreCrypto
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка большого объема входящих данных может приводить к отказу в обслуживании.
Описание. Проблема отказа в обслуживании устранена путем улучшенной проверки ввода.
CVE-2019-8741: Ники Моуха (Nicky Mouha) из Национального института стандартов и технологий США (National Institute of Standards and Technology, NIST)
Запись добавлена 29 октября 2019 г.
Платформа
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Удаленный злоумышленник может вызвать неожиданное завершение работы программы или выполнить произвольный код.
Описание. Проблема чтения за границами выделенной области памяти устранена путем улучшенной проверки ввода.
CVE-2019-8641: Самуэль Гросс (Samuel Groß) и Натали Сильванович (Natalie Silvanovich) из подразделения Google Project Zero
CVE-2019-8746: Натали Сильванович (Natalie Silvanovich) и Самуэль Гросс (Samuel Groß) из подразделения Google Project Zero
Запись обновлена 29 октября 2019 г.
IOUSBDeviceFamily
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8718: Джошуа Хилл (Joshua Hill) и Сэм Фойгтлендер (Sem Voigtländer)
Запись добавлена 29 октября 2019 г.
Ядро
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Уязвимость, связанная с повреждением памяти, устранена путем улучшения блокировки.
CVE-2019-8740: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
Запись добавлена 29 октября 2019 г.
Ядро
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Локальная программа может считывать постоянный идентификатор учетной записи.
Описание. Проблема с проверкой устранена путем улучшения логики.
CVE-2019-8809: специалисты Apple
Запись добавлена 29 октября 2019 г.
Ядро
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8712: Мохамед Ганнэм (Mohamed Ghannam, @_simo36)
Запись добавлена 29 октября 2019 г.
Ядро
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Вредоносная программа может выявлять схему распределения памяти в ядре.
Описание. При обработке пакетов IPv6 возникала проблема повреждения памяти. Проблема устранена путем улучшенного управления памятью.
CVE-2019-8744: Чжуо Лиан (Zhuo Liang) из группы Vulcan в Qihoo 360
Запись добавлена 29 октября 2019 г.
Ядро
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенного управления состояниями.
CVE-2019-8709: пользователь derrek (@derrekr6)
Запись добавлена 29 октября 2019 г.
Ядро
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Программа может выполнять произвольный код с привилегиями ядра.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8717: Янн Хорн (Jann Horn) из подразделения Google Project Zero
Запись добавлена 8 октября 2019 г.
libxml2
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обнаружен ряд проблем в библиотеке libxml2.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной проверки ввода.
CVE-2019-8749: обнаружено с помощью инструмента OSS-Fuzz
CVE-2019-8756: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 8 октября 2019 г.
mDNSResponder
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Злоумышленник, находящийся близко физически, может пассивно наблюдать за именами устройств при взаимодействии по протоколу AWDL.
Описание. Проблема устранена путем замены имен устройств случайными идентификаторами.
CVE-2019-8799: Давид Крейчман (David Kreitschmann) и Милан Штуте (Milan Stute) из лаборатории Secure Mobile Networking Lab при Дармштадтском техническом университете
Запись добавлена 29 октября 2019 г.
UIFoundation
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного текстового файла могла привести к выполнению произвольного кода.
Описание. Проблема переполнения буфера решена посредством улучшенной проверки границ.
CVE-2019-8745: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 8 октября 2019 г.
UIFoundation
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Программа может выполнять произвольный код с системными правами.
Описание. Проблема с повреждением данных в памяти устранена путем улучшенной обработки памяти.
CVE-2019-8831: пользователь riusksk из VulWar Corp, сотрудничающий с компанией Trend Micro в рамках программы Zero Day Initiative
Запись добавлена 18 ноября 2019 г.
WebKit
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Обработка вредоносного веб-содержимого может приводить к выполнению произвольного кода.
Описание. Ряд проблем с повреждением данных в памяти устранен путем улучшенной обработки памяти.
CVE-2019-8710: обнаружено с помощью инструмента OSS-Fuzz
CVE-2019-8728: Чунхо Чжанг (Junho Jang) из LINE Security Team и Ханул Чой (Hanul Choi) из ABLY Corporation
CVE-2019-8734: обнаружено с помощью инструмента OSS-Fuzz
CVE-2019-8751: Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech
CVE-2019-8752: Донгчжуо Чжао (Dongzhuo Zhao), сотрудничающий с отделом ADLab в Venustech
CVE-2019-8773: обнаружено с помощью инструмента OSS-Fuzz
Запись добавлена 29 октября 2019 г.
Wi-Fi
Целевые продукты: Apple Watch Series 3 и более поздние модели
Воздействие. Устройство может быть пассивно отслежено по MAC-адресу в сети Wi-Fi.
Описание. Проблема с конфиденциальностью пользователя устранена посредством удаления транслированного MAC-адреса.
CVE-2019-8854: Та-Лун Йен (Ta-Lun Yen) из команды UCCU Hacker and FuriousMacTeam Военно-морской академии США и компания Mitre
Запись добавлена 4 декабря 2019 г.
Дополнительные благодарности
Звук
Выражаем благодарность пользователю riusksk из компании VulWar Corp, сотрудничающему с компанией Trend Micro в рамках программы Zero Day Initiative.
Запись добавлена 29 октября 2019 г.
boringssl
Выражаем благодарность за помощь Тийсу Алькемаде (Thijs Alkemade, @xnyhps) из Computest.
Запись добавлена 8 октября 2019 г.
HomeKit
Выражаем благодарность за помощь Тянь Чжану (Tian Zhang).
Запись добавлена 29 октября 2019 г.
Ядро
Выражаем благодарность за помощь Брэндону Азаду (Brandon Azad) из подразделения Google Project Zero.
Запись добавлена 29 октября 2019 г.
mDNSResponder
Выражаем благодарность за помощь Грегору Лангу (Gregor Lang) из e.solutions GmbH.
Запись добавлена 29 октября 2019 г.
Профили
Выражаем благодарность за помощь Эрику Джонсону (Erik Johnson) из Средней школы Вернон Хиллс и Джеймсу Сили (James Seeley, @Code4iOS) из Shriver Job Corps.
Запись добавлена 29 октября 2019 г.
Safari
Выражаем благодарность за помощь Йигиту Кану ЙИЛМАЗУ (Yiğit Can YILMAZ, @yilmazcanyigit) из TurkishKit.
Запись добавлена 29 октября 2019 г.
WebKit
Выражаем благодарность за помощь Мин Чжон Киму (Min Jeong Kim) и Джэ-Чхоль Рёу (Jae Cheol Ryou) из отдела информационной безопасности Национального университета в Тэджоне (Южная Корея), а также пользователю cc, сотрудничающему с компанией Trend Micro в рамках программы Zero Day Initiative.
Запись добавлена 29 октября 2019 г.