Acerca del contenido de seguridad de watchOS 3.1.3
En este documento se describe el contenido de seguridad de watchOS 3.1.3.
Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
watchOS 3.1.3
Cuentas
Disponibilidad: todos los modelos de Apple Watch
Impacto: al desinstalar una app no se restablecían los ajustes de autorización
Descripción: había un problema que impedía restablecer los ajustes de autorización al desinstalar una aplicación. Este problema se ha solucionado mejorando el saneamiento.
CVE-2016-7651: Ju Zhu y Lilang Wu de Trend Micro
APNS Server
Disponibilidad: todos los modelos de Apple Watch
Impacto: un atacante desde una posición de red con privilegios puede rastrear la actividad de un usuario
Descripción: se ha enviado el certificado de un cliente en texto sin formato. Para resolver este problema se ha mejorado la gestión de los certificados.
CVE-2017-2383: Matthias Wachs y Quirin Scheitle de Technical University Munich (TUM)
Audio
Disponibilidad: todos los modelos de Apple Watch
Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2016-7658: Haohao Kong de Keen Lab (@keen_lab) de Tencent
CVE-2016-7659: Haohao Kong de Keen Lab (@keen_lab) de Tencent
CoreFoundation
Disponibilidad: todos los modelos de Apple Watch
Impacto: procesar cadenas creadas con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario
Descripción: existía un problema de corrupción de memoria en el procesamiento de las cadenas. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2016-7663: investigador anónimo
CoreGraphics
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de la aplicación
Descripción: se ha solucionado una falta de referencia de puntero nulo mediante la mejora de la validación de las entradas.
CVE-2016-7627: TRAPMINE Inc. y Meysam Firouzi @R00tkitSMM
Reproducción CoreMedia
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo .mp4 con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2016-7588: dragonltx de Huawei 2012 Laboratories
CoreText
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: había varios problemas de corrupción de la memoria en la gestión de archivos de tipo de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.
CVE-2016-7595: riusksk(泉哥) de Tencent Security Platform Department
Imágenes de disco
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2016-7616: daybreaker@Minionz en colaboración con Zero Day Initiative de Trend Micro
FontParser
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: había varios problemas de corrupción de la memoria en la gestión de archivos de tipo de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.
CVE-2016-4691: riusksk(泉哥) de Tencent Security Platform Department
FontParser
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com
ICU
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2016-7594: André Bargull
ImageIO
Disponibilidad: todos los modelos de Apple Watch
Impacto: un atacante remoto podría filtrar memoria
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2016-7643: Yangkang (@dnpushme) de Qihoo360 Qex Team
IOHIDFamily
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación local con privilegios del sistema podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2016-7591: daybreaker de Minionz
IOKit
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría leer la memoria de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2016-7657: Keen Lab en colaboración con Zero Day Initiative de Trend Micro
IOKit
Disponibilidad: todos los modelos de Apple Watch
Impacto: un usuario local podría determinar el diseño de memoria de kernel
Descripción: se ha solucionado un problema de memoria compartida mejorando la gestión de la memoria.
CVE-2016-7714: Qidan He (@flanker_hqd) de KeenLab en colaboración con Zero Day Initiative de Trend Micro
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2016-7606: Chen Qin de Topsec Alpha Team (topsec.com), @cocoahuke
CVE-2016-7612: Ian Beer de Google Project Zero
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría leer la memoria de kernel
Descripción: un problema de inicialización insuficiente se ha solucionado inicializando debidamente la memoria devuelta al espacio de usuario.
CVE-2016-7607: Brandon Azad
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: un usuario local podría provocar una denegación de servicio del sistema
Descripción: se ha solucionado un problema de denegación de servicio mejorando la gestión de la memoria.
CVE-2016-7615: el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: un usuario local podría provocar el cierre inesperado del sistema o la ejecución de código arbitrario en el kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2016-7621: Ian Beer de Google Project Zero
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: un usuario local podría ser capaz de obtener privilegios de raíz
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2016-7637: Ian Beer de Google Project Zero
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación local con privilegios del sistema podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2016-7644: Ian Beer de Google Project Zero
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría provocar la denegación del servicio
Descripción: se ha solucionado un problema de denegación de servicio mejorando la gestión de la memoria.
CVE-2016-7647: Lufeng Li of Qihoo 360 Vulcan Team
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2017-2370: Ian Beer de Google Project Zero
Kernel
Disponibilidad: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2017-2360: Ian Beer de Google Project Zero
libarchive
Disponibilidad: todos los modelos de Apple Watch
Impacto: un atacante local podría sobrescribir los archivos existentes
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Para resolver este problema se ha mejorado la validación de los enlaces simbólicos.
CVE-2016-7619: investigador anónimo
libarchive
Disponibilidad: todos los modelos de Apple Watch
Impacto: descomprimir un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.
CVE-2016-8687: Agostino Sarubbo de Gentoo
Perfiles
Disponibilidad: todos los modelos de Apple Watch
Impacto: abrir un certificado creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: existía un problema de corrupción de la memoria en la gestión de los perfiles de certificado. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Seguridad
Disponibilidad: todos los modelos de Apple Watch
Impacto: un atacante podría aprovecharse de los puntos débiles en el algoritmo criptográfico 3DES
Descripción: 3DES se ha eliminado como cifrado predeterminado.
CVE-2016-4693: Gaëtan Leurent y Karthikeyan Bhargavan de INRIA París
Seguridad
Disponibilidad: todos los modelos de Apple Watch
Impacto: un atacante en una posición de red privilegiada podría provocar una denegación de servicio
Descripción: había un problema de validación en la gestión de las URL de respuesta OCSP. Para resolver este problema se ha comprobado el estado de revocación de OCSP tras la validación de la CA y limitado el número de solicitudes OCSP por certificado.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Seguridad
Disponibilidad: todos los modelos de Apple Watch
Impacto: los certificados podrían evaluarse, de forma inesperada, como de confianza
Descripción: había un problema de evaluación de certificados en la validación de certificados. Para resolver este problema, los certificados tienen una validación adicional.
CVE-2016-7662: Apple
syslog
Disponibilidad: todos los modelos de Apple Watch
Impacto: un usuario local podría ser capaz de obtener privilegios de raíz
Descripción: había un problema en las referencias de nombre de puerto Mach que se ha solucionado mejorando la validación.
CVE-2016-7660: Ian Beer de Google Project Zero
Desbloquear con el iPhone
Disponibilidad: todos los modelos de Apple Watch
Impacto: cuando el usuario no lo lleve puesto, el Apple Watch podría desbloquearse.
Descripción: se ha solucionado un problema logístico mejorando la gestión del estado.
CVE-2017-2352: Ashley Fernandez de raptAware Pty Ltd
WebKit
Disponibilidad: todos los modelos de Apple Watch
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2016-7589: Apple
WebKit
Disponibilidad: todos los modelos de Apple Watch
Impacto: al procesar contenido web creado con fines malintencionados se podrían filtrar datos de diversos orígenes
Descripción: se producían varios problemas de validación en el tratamiento de la carga de páginas. El problema se ha solucionado mejorando la lógica.
CVE-2017-2363: lokihardt de Google Project Zero
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.