Acerca del contenido de seguridad de watchOS 3.1.3

En este documento, se describe el contenido de seguridad de watchOS 3.1.3.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta el sitio web Seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

watchOS 3.1.3

Publicado el 23 de enero de 2017

Cuentas

Disponible para todos los modelos de Apple Watch

Impacto: No se restablecía la configuración de autorización tras desinstalar una aplicación.

Descripción: Existía un problema que provocaba que no se restableciera la configuración de autorización tras desinstalar una aplicación. Este problema se solucionó mejorando el saneamiento.

CVE-2016-7651: Ju Zhu y Lilang Wu de Trend Micro

Servidor de APN

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante con una posición de red privilegiada puede realizar un seguimiento de la actividad de un usuario.

Descripción: Un certificado de cliente se enviaba como texto sin formato. Este problema se solucionó mejorando el manejo de certificados.

CVE-2017-2383: Matthias Wachs y Quirin Scheitle de la Universidad Técnica de Múnich (TUM)

Entrada agregada el 28 de marzo de 2017

Audio

Disponible para todos los modelos de Apple Watch

Impacto: Procesar un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2016-7658: Haohao Kong de Keen Lab (@keen_lab) de Tencent

CVE-2016-7659: Haohao Kong de Keen Lab (@keen_lab) de Tencent

CoreFoundation

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de cadenas creadas con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el procesamiento de cadenas. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2016-7663: Un investigador anónimo

CoreGraphics

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía provocar el cierre inesperado de la aplicación.

Descripción: Se solucionó un problema de falta de referencia de puntero nulo mejorando la validación de entradas.

CVE-2016-7627: TRAPMINE Inc. y Meysam Firouzi @R00tkitSMM

CoreMedia Playback

Disponible para todos los modelos de Apple Watch

Impacto: Procesar un archivo .mp4 creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-7588: dragonltx de Laboratories de Huawei 2012

CoreText

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos de tipo de letra. Estos problemas se solucionaron mejorando la comprobación de límites.

CVE-2016-7595: riusksk(泉哥) de Tencent Security Platform Department

Imágenes de disco

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2016-7616: daybreaker@Minionz en colaboración con la iniciativa Zero Day de Trend Micro

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existían varios problemas de daños en la memoria en el manejo de archivos de tipo de letra. Estos problemas se solucionaron mejorando la comprobación de límites.

CVE-2016-4691: riusksk(泉哥) de Tencent Security Platform Department

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com

ICU

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-7594: André Bargull

ImageIO

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante remoto podía producir una fuga de memoria.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de límites.

CVE-2016-7643: Yangkang (@dnpushme) de Qihoo360 Qex Team

IOHIDFamily

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación local con privilegios del sistema podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2016-7591: daybreaker de Minionz

IOKit

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía leer la memoria del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2016-7657: Keen Lab en colaboración con la iniciativa Zero Day de Trend Micro

IOKit

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía determinar el diseño de memoria del kernel.

Descripción: Un problema en la memoria compartida se solucionó mejorando el manejo de la memoria.

CVE-2016-7714: Qidan He (@flanker_hqd) de KeenLab en colaboración con la iniciativa Zero Day de Trend Micro

Entrada agregada el 25 de enero de 2017

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.

CVE-2016-7606: Chen Qin de Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía leer la memoria del kernel.

Descripción: Se solucionó un problema de inicialización insuficiente inicializando correctamente la memoria devuelta al espacio del usuario.

CVE-2016-7607: Brandon Azad

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía provocar una denegación de servicio del sistema.

Descripción: Se solucionó un problema de denegación del servicio mejorando el manejo de la memoria.

CVE-2016-7615: National Cyber Security Centre (NCSC) del Reino Unido

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2016-7621: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía obtener privilegios de usuario raíz.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2016-7637: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación local con privilegios del sistema podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2016-7644: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía provocar una denegación de servicio.

Descripción: Se solucionó un problema de denegación del servicio mejorando el manejo de la memoria.

CVE-2016-7647: Lufeng Li de Qihoo 360 Vulcan Team

Entrada agregada el 17 de mayo de 2017

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.

CVE-2017-2370: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2360: Ian Beer de Google Project Zero

libarchive

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante local podía sobrescribir archivos existentes.

Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Este problema se solucionó mejorando la validación de enlaces simbólicos.

CVE-2016-7619: Un investigador anónimo

libarchive

Disponible para todos los modelos de Apple Watch

Impacto: Abrir un archivo creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.

CVE-2016-8687: Agostino Sarubbo de Gentoo

Perfiles

Disponible para todos los modelos de Apple Watch

Impacto: Abrir un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el manejo de perfiles de certificados. Este problema se solucionó mejorando la validación de entradas.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Seguridad

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante podía explotar las debilidades en el algoritmo criptográfico 3DES.

Descripción: Se quitó 3DES como cifrado predeterminado.

CVE-2016-4693: Gaëtan Leurent y Karthikeyan Bhargavan de INRIA París

Seguridad

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante con una posición de red privilegiada podía provocar una denegación de servicio.

Descripción: Existía un problema de validación en el manejo de las URL del respondedor OCSP. Este problema se solucionó verificando la revocación del estado de OCSP posterior a la validación de CA y limitando la cantidad de solicitudes OCSP por certificado.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Seguridad

Disponible para todos los modelos de Apple Watch

Impacto: Los certificados se podían evaluar como confiables inesperadamente.

Descripción: Existía un problema de evaluación de certificados en la validación de certificados. Este problema se solucionó mediante una validación adicional de certificados.

CVE-2016-7662: Apple

syslog

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía obtener privilegios de usuario raíz.

Descripción: Se solucionó un problema en las referencias de puertos Mach mejorando la validación.

CVE-2016-7660: Ian Beer de Google Project Zero

Desbloqueo con iPhone

Disponible para todos los modelos de Apple Watch

Impacto: El Apple Watch podía desbloquearse cuando no se encontraba en la muñeca del usuario.

Descripción: Se solucionó un problema de lógica mejorando la administración de estado.

CVE-2017-2352: Ashley Fernandez de raptAware Pty Ltd

Entrada actualizada el 25 de enero de 2017

WebKit

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la administración de estado.

CVE-2016-7589: Apple

WebKit

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía exfiltrar datos mediante un origen cruzado.

Descripción: Existían varios problemas de validación en el manejo de la carga de páginas. Este problema se solucionó mejorando la lógica.

CVE-2017-2363: lokihardt de Google Project Zero

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: