Acerca del contenido de seguridad de watchOS 7.1
En este documento se describe el contenido de seguridad de watchOS 7.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 7.1
Audio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27910: JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
Audio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27916: JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-10017: Francis en colaboración con Zero Day Initiative de Trend Micro y JunDong Xie de Ant Security Light-Year Lab
CoreAudio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27908: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
CVE-2020-27909: anónimo en colaboración con Zero Day Initiative de Trend Micro, y JunDong Xie y XingWei Lin de Ant Security Light-Year Lab
CoreText
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-27922: Mickey Jin de Trend Micro
Crash Reporter
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2020-10003: Tim Michaud (@TimGMichaud) de Leviathan
FontParser
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código. Apple está al corriente de las notificaciones relativas a la explotación de este problema.
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2020-27930: Google Project Zero
FontParser
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-27927: Xingwei Lin de Ant Security Light-Year Lab
Foundation
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un usuario local podría leer archivos arbitrarios.
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-10002: James Hutchins
ImageIO
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27924: Lei Sun
ImageIO
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.
CVE-2020-27912: Xingwei Lin de Ant Security Light-Year Lab
CVE-2020-27923: Lei Sun
IOAcceleratorFamily
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación creada con fines malintencionados podría ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-27905: Mohamed Ghannam (@_simo36)
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación maliciosa podría divulgar datos de la memoria del kernel. Apple está al corriente de las notificaciones relativas a la explotación de este problema.
Descripción: se ha solucionado un problema de inicialización de memoria.
CVE-2020-27950: Google Project Zero
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado un problema de lógica mejorando la gestión del estado.
CVE-2020-9974: Tommy Muir (@Muirey03)
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-10016: Alex Helie
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel. Apple está al corriente de las notificaciones relativas a la explotación de este problema.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión del estado.
CVE-2020-27932: Google Project Zero
libxml2
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de código
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27917: detectado por OSS-Fuzz
CVE-2020-27920: detectado por OSS-Fuzz
libxml2
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-27911: detectado por OSS-Fuzz
Registro
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-10010: Tommy Muir (@Muirey03)
Estructura de síntomas
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante local podría aumentar sus privilegios.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27899: 08Tc3wBB en colaboración con ZecOps
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-27918: Liu Long de Ant Security Light-Year Lab
XNU
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un proceso aislado podría ser capaz de eludir las restricciones de la zona protegida
Descripción: se han solucionado varios problemas mejorando la lógica.
CVE-2020-27935: Lior Halphon (@LIJI32)
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.