Acerca del contenido de seguridad de watchOS 2.2

En este documento se describe el contenido de seguridad de watchOS 2.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

watchOS 2.2

  • Imágenes de disco

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

    Descripción: existía un problema de corrupción de la memoria en el análisis de las imágenes de disco. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1717 : Frank Graziano de Yahoo! Equipo de Pentest

  • FontParser

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1740 : HappilyCoded (ant4g0nist y r3dsm0k3) trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • HTTPProtocol

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: un atacante remoto podría provocar la ejecución de código arbitrario

    Descripción: existían varias vulnerabilidades en versiones de nghttp2 anteriores a la 1.6.0, la más grave de las cuales podría provocar la ejecución remota de código. Estos problemas se han solucionado actualizando nghttp2 a la versión 1.6.0.

    ID CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1719 : Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1748 : Brandon Azad

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1720 : Ian Beer de Google Project Zero

    CVE-2016-1721 : Ian Beer de Google Project Zero y Ju Zhu de Trend Micro

    CVE-2016-1754 : Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2016-1755 : Ian Beer de Google Project Zero

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

    Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1750 : CESG

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

    Descripción: se han solucionado varios desbordamientos de enteros mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1753 : Juwei Lin Trend Micro trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría omitir la firma de código

    Descripción: existía un problema de permisos en el que se concedía incorrectamente el permiso de ejecución. Este problema se ha solucionado mejorando la validación de los permisos.

    ID CVE

    CVE-2016-1751 : Eric Monti de Square Mobile Security

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ser capaz de provocar la denegación de servicio

    Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación.

    ID CVE

    CVE-2016-1752 : CESG

  • libxml2

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: procesar un XML creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de un código arbitrario

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-1819

    CVE-2015-5312 : David Drysdale de Google

    CVE-2015-7499

    CVE-2015-7500 : Kostya Serebryany de Google

    CVE-2015-7942 : Kostya Serebryany de Google

    CVE-2015-8035 : gustavo.grieco

    CVE-2015-8242 : Hugh Davenport

    CVE-2016-1761 : wol0xff trabajando con Zero Day Initiative (ZDI) de Trend Micro

    CVE-2016-1762

  • libxslt

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: procesar un XML creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

    Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-7995 : puzzor

  • Mensajes

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: un atacante que puede sortear la colocación de certificado de Apple, interceptar conexiones TLS, inyectar mensajes y grabar mensajes cifrados tipo adjunto podría leer los datos adjuntos

    Descripción: se ha solucionado un problema criptográfico al rechazar mensajes duplicados en el cliente.

    ID CVE

    CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers y Michael Rushanan de Johns Hopkins University

  • Seguridad

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: procesar un certificado creado con fines malintencionados podría provocar la ejecución de un código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el decodificador ASN.1. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1950 : Francis Gabriel de Quarkslab

  • syslog

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

    Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1722 : Joshua J. Drake y Nikias Bassen de Zimperium zLabs

  • TrueTypeScaler

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de un código arbitrario

    Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2016-1775 : 0x1byte trabajando con Zero Day Initiative (ZDI) de Trend Micro

  • WebKit

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario

    Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

    ID CVE

    CVE-2016-1723 : Apple

    CVE-2016-1724 : Apple

    CVE-2016-1725 : Apple

    CVE-2016-1726 : Apple

    CVE-2016-1727 : Apple

  • Wi-Fi

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes

    Impacto: un atacante con una posición de red privilegiada podría ejecutar un código arbitrario

    Descripción: existía un problema de corrupción de memoria y validación de marco para un ethertype determinado. Este problema se ha solucionado mediante validación de ethertype adicional y gestión de memoria mejorada.

    ID CVE

    CVE-2016-0801 : un investigador anónimo

    CVE-2016-0802 : un investigador anónimo

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: