Acerca del contenido de seguridad de watchOS 2.2
En este documento se describe el contenido de seguridad de watchOS 2.2.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
watchOS 2.2
Imágenes de disco
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: existía un problema de corrupción de la memoria en el análisis de las imágenes de disco. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2016-1717 : Frank Graziano de Yahoo! Equipo de Pentest
FontParser
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: la apertura de un archivo PDF creado de manera malintencionada puede ocasionar la terminación inesperada de la aplicación o la ejecución de un código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2016-1740 : HappilyCoded (ant4g0nist y r3dsm0k3) trabajando con Zero Day Initiative (ZDI) de Trend Micro
HTTPProtocol
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario
Descripción: existían varias vulnerabilidades en versiones de nghttp2 anteriores a la 1.6.0, la más grave de las cuales podría provocar la ejecución remota de código. Estos problemas se han solucionado actualizando nghttp2 a la versión 1.6.0.
ID CVE
CVE-2015-8659
IOHIDFamily
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2016-1719 : Ian Beer de Google Project Zero
IOHIDFamily
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ser capaz de determinar el diseño de la memoria de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2016-1748 : Brandon Azad
Kernel
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2016-1720 : Ian Beer de Google Project Zero
CVE-2016-1721 : Ian Beer de Google Project Zero y Ju Zhu de Trend Micro
CVE-2016-1754 : Lufeng Li de Qihoo 360 Vulcan Team
CVE-2016-1755 : Ian Beer de Google Project Zero
Kernel
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
ID CVE
CVE-2016-1750 : CESG
Kernel
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se han solucionado varios desbordamientos de enteros mejorando la validación de las entradas.
ID CVE
CVE-2016-1753 : Juwei Lin Trend Micro trabajando con Zero Day Initiative (ZDI) de Trend Micro
Kernel
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría omitir la firma de código
Descripción: existía un problema de permisos en el que se concedía incorrectamente el permiso de ejecución. Este problema se ha solucionado mejorando la validación de los permisos.
ID CVE
CVE-2016-1751 : Eric Monti de Square Mobile Security
Kernel
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ser capaz de provocar la denegación de servicio
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación.
ID CVE
CVE-2016-1752 : CESG
libxml2
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: procesar un XML creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de un código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2015-1819
CVE-2015-5312 : David Drysdale de Google
CVE-2015-7499
CVE-2015-7500 : Kostya Serebryany de Google
CVE-2015-7942 : Kostya Serebryany de Google
CVE-2015-8035 : gustavo.grieco
CVE-2015-8242 : Hugh Davenport
CVE-2016-1761 : wol0xff trabajando con Zero Day Initiative (ZDI) de Trend Micro
CVE-2016-1762
libxslt
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: procesar un XML creado con fines malintencionados puede provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
ID CVE
CVE-2015-7995 : puzzor
Mensajes
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: un atacante que puede sortear la colocación de certificado de Apple, interceptar conexiones TLS, inyectar mensajes y grabar mensajes cifrados tipo adjunto podría leer los datos adjuntos
Descripción: se ha solucionado un problema criptográfico al rechazar mensajes duplicados en el cliente.
ID CVE
CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers y Michael Rushanan de Johns Hopkins University
Seguridad
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: procesar un certificado creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: existía un problema de corrupción de la memoria en el decodificador ASN.1. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2016-1950 : Francis Gabriel de Quarkslab
syslog
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2016-1722 : Joshua J. Drake y Nikias Bassen de Zimperium zLabs
TrueTypeScaler
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: existía un problema de corrupción de la memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2016-1775 : 0x1byte trabajando con Zero Day Initiative (ZDI) de Trend Micro
WebKit
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: el procesamiento de contenido web con fines malintencionados puede provocar la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
ID CVE
CVE-2016-1723 : Apple
CVE-2016-1724 : Apple
CVE-2016-1725 : Apple
CVE-2016-1726 : Apple
CVE-2016-1727 : Apple
Wi-Fi
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: un atacante con una posición de red privilegiada podría ejecutar un código arbitrario
Descripción: existía un problema de corrupción de memoria y validación de marco para un ethertype determinado. Este problema se ha solucionado mediante validación de ethertype adicional y gestión de memoria mejorada.
ID CVE
CVE-2016-0801 : un investigador anónimo
CVE-2016-0802 : un investigador anónimo
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.