Acerca del contenido de seguridad de watchOS 6
En este documento se describe el contenido de seguridad de watchOS 6.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 6
Audio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2019-8706: Yu Zhou de Ant-Financial Light-Year Security Lab
Audio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar un archivo de audio creado con fines malintencionados podría mostrar memoria restringida
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2019-8850: anónimo en colaboración con Zero Day Initiative de Trend Micro
CFNetwork
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios
Descripción: este problema se ha solucionado mejorando las comprobaciones.
CVE-2019-8753: Łukasz Pilorz de Standard Chartered GBS Poland
CoreAudio
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar una película creada con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2019-8705: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro
CoreCrypto
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: procesar un gran volumen de entradas podría provocar una denegación del servicio
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.
CVE-2019-8741: Nicky Mouha de NIST
Foundation
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2019-8746: natashenka y Samuel Groß de Google Project Zero
IOUSBDeviceFamily
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-8718: Joshua Hill y Sem Voigtländer
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría obtener privilegios de alto nivel.
Descripción: este problema se ha solucionado mejorando las certificaciones.
CVE-2019-8703: investigador anónimo
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.
CVE-2019-8740: Mohamed Ghannam (@_simo36)
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación local podría ser capaz de leer un identificador de cuenta persistente
Descripción: se ha solucionado un problema de validación mejorando la lógica.
CVE-2019-8809: Apple
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-8712: Mohamed Ghannam (@_simo36)
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: existía un problema de corrupción de memoria en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la gestión de la memoria.
CVE-2019-8744: Zhuo Liang de Qihoo 360 Vulcan Team
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)
Kernel
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-8717: Jann Horn de Google Project Zero
libxml2
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: varios problemas en libxml2
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2019-8749: detectado por OSS-Fuzz
CVE-2019-8756: detectado por OSS-Fuzz
mDNSResponder
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: un atacante en proximidad física puede observar pasivamente los nombres de los dispositivos en las comunicaciones AWDL
Descripción: este problema se ha resuelto reemplazando los nombres de los dispositivos con un identificador aleatorio.
CVE-2019-8799: David Kreitschmann y Milan Stute de Secure Mobile Networking Lab, de la Universidad Técnica de Darmstadt
UIFoundation
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.
CVE-2019-8745: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro
UIFoundation
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2019-8831: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2019-8710: detectado por OSS-Fuzz
CVE-2019-8728: Junho Jang de LINE Security Team y Hanul Choi de ABLY Corporation
CVE-2019-8734: detectado por OSS-Fuzz
CVE-2019-8751: Dongzhuo Zhao en colaboración con ADLab de Venustech
CVE-2019-8752: Dongzhuo Zhao en colaboración con ADLab de Venustech
CVE-2019-8773: detectado por OSS-Fuzz
Wifi
Disponible para: Apple Watch Series 3 y modelos posteriores
Impacto: la dirección MAC wifi de un dispositivo podría hacer un seguimiento pasivo de este.
Descripción: se ha solucionado un problema de privacidad del usuario eliminando la dirección MAC de transmisión.
CVE-2019-8854: Ta-Lun Yen de UCCU Hacker y FuriousMacTeam de la Academia Naval de los Estados Unidos y la MITRE Corporation
Otros agradecimientos
Audio
Queremos dar las gracias a VulWar Corp en colaboración con la Zero Day Initiative de Trend Micro por su ayuda.
boringssl
Queremos dar las gracias a Thijs Alkemade (@xnyhps) de Computest por su ayuda.
HomeKit
Nos gustaría dar las gracias a Tian Zhang por su ayuda.
Kernel
Nos gustaría expresar nuestro agradecimiento a Brandon Azad del Google Project Zero por su ayuda.
mDNSResponder
Queremos dar las gracias por su ayuda a Gregor Lang de e.solutions GmbH.
Perfiles
Queremos dar las gracias a Erik Johnson de Vernon Hills High School y James Seeley (@Code4iOS) de Shriver Job Corps por su ayuda.
Safari
Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.
WebKit
Queremos dar las gracias a MinJeong Kim de Information Security Lab, JaeCheol Ryou de Information Security Lab y la Universidad Nacional Chungnam de Corea del Sur y cc en colaboración con Zero Day Initiative de Trend Micro por su ayuda.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.