Acerca del contenido de seguridad de watchOS 2
En este documento se describe el contenido de seguridad de watchOS 2.
Con el fin de proteger a nuestros clientes, Apple no revelará, comentará ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos Apple, visita el sitio web Seguridad de los productos Apple.
Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para saber más acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
watchOS 2
Apple Pay
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: algunas tarjetas pueden permitir que un terminal recupere información limitada de transacción reciente al realizar un pago.
Descripción: la funcionalidad de registro de transacciones estaba habilitada en ciertas configuraciones. Para resolver este problema se ha eliminado la funcionalidad de registro de transacciones.
CVE-ID
CVE-2015-5916
Audio
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: la reproducción de un archivo de audio malicioso puede provocar la finalización inesperada de la aplicación.
Descripción: existía un problema de corrupción de memoria en el manejo de los archivos de audio. Para resolver este problema se ha mejorado la gestión de la memoria.
CVE-ID
CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Adv.: prof. Taekyoung Kwon), Universidad Yonsei, Seúl, Corea
Certificate Trust Policy
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: actualización de la política de confianza del certificado.
Descripción: se actualizó la política de confianza del certificado. Se puede consultar la lista completa de certificados en https://support.apple.com/HT204873.
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante con una posición de red privilegiada puede interceptar conexiones SSL/TLS.
Descripción: existía un problema de validación de certificados en NSURL cuando cambiaba un certificado. Para resolver este problema se ha mejorado la validación de los certificados.
CVE-ID
CVE-2015-5824: Timothy J. Wood de The Omni Group
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: la conexión a un proxy web malicioso puede establecer cookies maliciosas para un sitio web.
Descripción: existía un problema en el manejo de las respuestas de conexión de proxy. Para resolver este problema se ha eliminado el encabezado set-cookie al analizar la respuesta de conexión.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante en una posición de red privilegiada puede rastrear la actividad de un usuario.
Descripción: existía un problema de cookies entre dominios en el manejo de dominios de nivel superior. El problema se ha solucionado aplicando restricciones mejoradas para la creación de cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad Tsinghua
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una persona con acceso físico a un dispositivo iOS puede leer datos de caché de las apps de Apple.
Descripción: los datos de caché se cifraban con una clave protegida solo por el UID de hardware. Para resolver este problema, se han encriptado los datos de la memoria caché con una clave protegida por el UID de hardware y el código del usuario.
CVE-ID
CVE-2015-5898: Andreas Kurtz de NESO Security Labs
CoreCrypto
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante puede ser capaz de determinar una clave privada.
Descripción: al observar muchos intentos de firma o descifrado, un atacante puede haber sido capaz de determinar la clave privada RSA. Para resolver este problema se han utilizado algoritmos de encriptación mejorados.
CoreText
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: el procesamiento de un archivo de fuentes creado con fines malintencionados puede conducir a la ejecución de código arbitrario.
Descripción: existía un problema de corrupción de memoria en el procesamiento de archivos de fuentes. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: el procesamiento de un archivo de texto creado con fines malintencionados puede conducir a la ejecución de código arbitrario.
Descripción: existían problemas de corrupción de memoria en el procesamiento de archivos de texto. Estos problemas se han solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)
Dev Tools
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de corrupción de memoria en dyld. Para resolver este problema se ha mejorado la gestión de la memoria.
CVE-ID
CVE-2015-5876: beist of grayhash
Disk Images
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de corrupción de memoria en DiskImages. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación puede ser capaz de eludir la firma de código.
Descripción: existía un problema con la validación de la firma de código de los ejecutables. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: existían varios problemas de corrupción de memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: múltiples vulnerabilidades en la UCI.
Descripción: existían múltiples vulnerabilidades en las versiones de la UCI anteriores a la 53.1.0. Estos problemas se solucionaron actualizando la UCI a la versión 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand de Google Project Zero
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria del kernel.
Descripción: existía un problema que llevó a la divulgación del contenido de la memoria del kernel. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-ID
CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de corrupción de memoria en IOAcceleratorFamily. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5848: Filippo Bigarella
IOKit
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de corrupción de memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de corrupción de memoria en IOMobileFrameBuffer. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante local puede ser capaz de leer la memoria del kernel.
Descripción: existía un problema de inicialización de memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5863: Ilja van Sprundel de IOActive
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: existía un problema de corrupción de memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard of m00nbsd
CVE-2015-5903: CESG
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante local puede controlar el valor de las cookies de pila.
Descripción: existían múltiples debilidades en la generación de cookies de pila de espacio de usuario. Para resolver este problema se ha mejorado la generación de las cookies de pila.
CVE-ID
CVE-2013-3951: Stefan Esser
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un proceso local puede modificar otros procesos sin comprobaciones de derechos.
Descripción: existía un problema en el que se permitía a los procesos raíz que utilizaban la API processor_set_tasks recuperar los puertos de tareas de otros procesos. Para resolver este problema se han añadido comprobaciones de las autorizaciones.
CVE-ID
CVE-2015-5882: Pedro Vilaça, trabajando sobre una base de investigación original obra de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante en un segmento de LAN local puede deshabilitar el enrutamiento IPv6.
Descripción: existía un problema de validación insuficiente en el manejo de los anuncios del enrutador IPv6 que permitía a un atacante establecer el límite de salto en un valor arbitrario. Para resolver este problema se ha impuesto un límite de saltos mínimo.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de determinar el diseño de la memoria del kernel.
Descripción: existía un problema en XNU que llevó a la divulgación de la memoria del kernel. Para resolver este problema se ha mejorado la inicialización de las estructuras de la memoria de kernel.
CVE-ID
CVE-2015-5842: beist of grayhash
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de causar una denegación del servicio del sistema.
Descripción: existía un problema en el montaje de la unidad HFS. Para resolver este problema se han añadido comprobaciones de validación adicionales.
CVE-ID
CVE-2015-5748: Maxime Villard de m00nbsd
libpthread
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local puede ser capaz de ejecutar código arbitrario con privilegios de kernel.
Descripción: existía un problema de corrupción de memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
CVE-ID
CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team
PluginKit
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación empresarial maliciosa puede instalar extensiones antes de que la aplicación se incluya en la lista de confianza.
Descripción: existía un problema en la validación de las extensiones durante la instalación. Para resolver este problema se ha mejorado la verificación de las apps.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.
removefile
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: el procesamiento de datos maliciosos puede conducir a la terminación inesperada de la aplicación.
Descripción: existía un error de desbordamiento en las rutinas de división de checkint. Para resolver este problema se han mejorado las rutinas de división.
CVE-ID
CVE-2015-5840: un investigador anónimo
SQLite
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: múltiples vulnerabilidades en SQLite v3.8.5.
Descripción: existían múltiples vulnerabilidades en SQLite v3.8.5. Estos problemas se solucionaron actualizando SQLite a la versión 3.8.10.2.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: visitar un sitio web creado con fines malintencionados puede conducir a la ejecución de código arbitrario.
Descripción: existía un problema de corrupción de memoria en Tidy. Estos problemas se han solucionado mejorando la gestión de la memoria.
CVE-ID
CVE-2015-5522: Fernando Muñoz de NULLGroup.com
CVE-2015-5523: Fernando Muñoz de NULLGroup.com
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.