Проблеми системи безпеки, які усунено в оновленні watchOS 7.2
У цьому документі описано проблеми системи безпеки, які усунено в оновленні watchOS 7.2.
Відомості про оновлення системи безпеки Apple
Щоб захистити клієнтів, компанія Apple не розголошує інформацію про проблеми безпеки, не підтверджує її та не бере участь у її обговоренні, доки не завершено вивчення відповідної проблеми й не опубліковано виправлення або нові випуски. Відомості про нещодавні випуски див. в статті Оновлення системи безпеки Apple.
Документи про безпеку Apple класифікують вразливості за кодами CVE-ID, коли це можливо.
Щоб отримати додаткову інформацію про безпеку, ознайомтеся зі сторінкою про безпеку продуктів Apple.
watchOS 7.2
Audio
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого аудіофайлу може розкривати область пам’яті з обмеженим доступом.
Опис: проблему читання за межами виділеної області пам’яті вирішено шляхом поліпшення перевірки вводу.
CVE-2020-29610: анонім, що співпрацює з Zero Day Initiative компанії Trend Micro
CoreAudio
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого аудіофайлу може призводити до виконання довільного коду.
Опис: проблему із записуванням за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2020-27948: Цзюньдун Се (JunDong Xie) з Ant Security Light-Year Lab
FontParser
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: зловмисник може віддалено ініціювати витік пам’яті.
Опис: проблему читання за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2020-29608: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab.
FontParser
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого шрифту може призводити до розкриття пам’яті процесів.
Опис: проблему з розкриттям інформації усунено завдяки вдосконаленню керування станами.
CVE-2020-27946: Матеуш Юрчик (Mateusz Jurczyk) з підрозділу Google Project Zero
FontParser
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого файлу шрифту може призводити до виконання довільного коду.
Опис: під час обробки файлів шрифтів виникала проблема з пошкодженням даних у пам’яті. Цю проблему було вирішено шляхом поліпшення перевірки вводу.
CVE-2020-27943: Матеуш Юрчик (Mateusz Jurczyk) з підрозділу Google Project Zero
CVE-2020-27944: Матеуш Юрчик (Mateusz Jurczyk) з підрозділу Google Project Zero
CVE-2020-29624: Матеуш Юрчик (Mateusz Jurczyk) з підрозділу Google Project Zero
ImageIO
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого зображення може призводити до відмови в обслуговуванні.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2020-29615: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab
ImageIO
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого зображення може призводити до пошкодження динамічної пам’яті.
Опис: проблему з читанням за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2020-29617: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab
CVE-2020-29619: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab
ImageIO
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему читання за межами виділеної області пам’яті усунено завдяки вдосконаленню перевірки вводу.
CVE-2020-29618: Сінвей Лінь (Xingwei Lin) з Ant Security Light-Year Lab
ImageIO
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого зображення може призводити до виконання довільного коду.
Опис: проблему записування за межами виділеної області пам’яті вирішено завдяки вдосконаленню перевірки меж.
CVE-2020-29611: Александру-Влад Нікулае (Alexandru-Vlad Niculae), що співпрацює з Google Project Zero
Security
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: виконання неавторизованого коду може призвести до порушення політики автентифікації
Опис: цю проблему вирішено завдяки вдосконаленню перевірок.
CVE-2020-27951: Apple.
WebRTC
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: обробка шкідливого вебвмісту може призводити до виконання довільного коду.
Опис: проблему Use-After-Free вирішено завдяки вдосконаленню керування пам’яттю.
CVE-2020-15969: анонімний дослідник
Wi-Fi
Цільові продукти: Apple Watch Series 3 та новіші моделі
Вплив: шкідлива програма може виконувати довільний код із привілеями ядра.
Опис: проблему переповнення буфера вирішено завдяки вдосконаленню перевірки розміру.
CVE-2021-31077: Лі (Lee) з CompSec@SNU
Додаткова подяка
CoreAudio
Дякуємо за допомогу Цзюньдун Се (JunDong Xie) і Сінвею Ліну (Xingwei Lin) з Ant Security Light-Year Lab.
Інформація про продукти, вироблені не компанією Apple, або про незалежні веб-сайти, які не контролюються та не тестуються компанією Apple, не носить рекомендаційного характеру та не рекламується компанією. Компанія Apple не несе жодної відповідальності за вибір, функціональність і використання веб-сайтів або продукції сторонніх виробників. Компанія Apple також не несе відповідальність за точність або достовірність даних, розміщених на веб-сайтах сторонніх виробників. Зверніться до відповідного постачальника за додатковою інформацією.