Acerca del contenido de seguridad de watchOS 3.1
En este documento se describe el contenido de seguridad de watchOS 3.1.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
watchOS 3.1
AppleMobileFileIntegrity
Disponible para: todos los modelos de Apple Watch
Impacto: un ejecutable firmado podría sustituir código con el mismo ID de equipo
Descripción: había un problema de validación en la gestión de las firmas de código. Este problema se ha solucionado mediante validación adicional.
CVE-2016-7584: Mark Mentovai y Boris Vidolov de Google Inc.
CoreGraphics
Disponible para: todos los modelos de Apple Watch
Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2016-4673: Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent
FontParser
Disponible para: todos los modelos de Apple Watch
Impacto: analizar un tipo de letra creado con fines malintencionados podría revelar información confidencial del usuario
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2016-4660: Ke Liu de Tencent's Xuanwu Lab
FontParser
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento de buffer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel
Descripción: existían varios problemas de validación de entradas en código MIG generado. Estos problemas se han solucionado mejorando la validación.
CVE-2016-4669: Ian Beer de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría divulgar datos de la memoria de kernel
Descripción: el problema de validación se ha solucionado mediante un saneamiento de entrada mejorado.
CVE-2016-4680: Max Bazaliy de Lookout e in7egral
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación local podría ser capaz de ejecutar código arbitrario con privilegios root
Descripción: existían varios problemas con la duración de los objetos al crear nuevos procesos. Se ha solucionado este problema mejorando la validación.
CVE-2016-7613: Ian Beer de Google Project Zero
libarchive
Disponible para: todos los modelos de Apple Watch
Impacto: un archivo creado con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios
Descripción: había un problema en la lógica de la validación de las rutas de los enlaces simbólicos. Este problema se ha solucionado mejorando el saneamiento de las rutas.
CVE-2016-4679: Omer Medan de enSilo Ltd
libxpc
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz
Descripción: se ha mejorado un problema de lógica mediante restricciones adicionales.
CVE-2016-4675: Ian Beer de Google Project Zero
Perfiles de zona protegida
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ser capaz de recuperar metadatos de directorios de fotos
Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en aplicaciones de otros fabricantes.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (Universidad POLITEHNICA de Bucarest); Luke Deshotels, William Enck (Universidad Estatal de Carolina del Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Perfiles de zona protegida
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ser capaz de recuperar metadatos de directorios de grabaciones de voz
Descripción: se ha solucionado un problema de acceso mediante restricciones de zona protegida adicionales en aplicaciones de otros fabricantes.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (Universidad POLITEHNICA de Bucarest); Luke Deshotels, William Enck (Universidad Estatal de Carolina del Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.