Acerca del contenido de seguridad de Watch OS 1.0.1

Este documento describe el contenido de seguridad de Watch OS 1.0.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para saber más acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Watch OS 1.0.1

  • Política de confianza en certificados

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Actualización de la política de confianza en certificados

    Descripción: La política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en https://support.apple.com/kb/HT204873?viewlocale=es_ES.

  • FontParser

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación que use NSXMLParser podía utilizarse de forma indebida para divulgar información

    Descripción: Existía un problema con entidades externas XML en la gestión que hacía NSXMLParser de XML. Este problema se ha solucionado evitando la carga de entidades externas entre orígenes.

    ID CVE

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema en IOHIDFamily que provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-1096: Ilja van Sprundel de IOActive

  • IOAcceleratorFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema en IOAcceleratorFamily que provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado eliminando el código innecesario.

    ID CVE

    CVE-2015-1094: Cererdlong del equipo de seguridad móvil de Alibaba

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de provocar la denegación de servicio del sistema

    Descripción: Existía un estado de carrera en la llamada del sistema setreuid del kernel. Este problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-1099: Mark Mentovai de Google Inc.

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante con una posición de red privilegiada podría ser capaz de redirigir el tráfico del usuario a hosts arbitrarios

    Descripción: Los redireccionamientos ICMP estaban activados por omisión. Este problema se ha solucionado desactivando los redireccionamientos ICMP.

    ID CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante remoto podría ser capaz de provocar la denegación de servicio

    Descripción: Existía un problema de incoherencia de estado en la gestión de datos TCP fuera de banda. Este problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-1105: Kenton Varda de Sandstorm.io

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría escalar los privilegios usando un servicio en peligro pensado para ejecutarse con privilegios limitados

    Descripción: Las llamadas de sistema setreuid y setregid no podían disminuir los privilegios de forma permanente. Este problema se ha solucionado disminuyendo los privilegios correctamente.

    ID CVE

    CVE-2015-1117: Mark Mentovai de Google Inc.

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante remoto podría ser capaz de evitar los filtros de red

    Descripción: El sistema trataba algunos paquetes IPv6 de las interfaces de redes remotas como paquetes locales. El problema se ha solucionado rechazando estos paquetes.

    ID CVE

    CVE-2015-1104: Stephen Roettger del equipo de seguridad de Google

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante con una posición de red privilegiada podría ser capaz de provocar la denegación de servicio

    Descripción: Existía una incoherencia de estado en el procesamiento de encabezados TCP. Este problema se ha solucionado mejorando la gestión de estado.

    ID CVE

    CVE-2015-1102: Andrey Khudyakov y Maxim Zhuravlev de Kaspersky Lab

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de provocar la terminación inesperada del sistema o la lectura de la memoria del kernel

    Descripción: Existía un problema de acceso a memoria fuera de los límites en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-1100: Maxime Villard de m00nbsd

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-1101: lokihardt@ASRT en colaboración con la Zero Day Initiative de HP

  • Secure Transport

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TKS

    Descripción: Secure Transport aceptaba claves RSA cortas efímeras, que normalmente se utilizan en suites de cifrado RSA de objetivo de exportación, en conexiones que utilizan suites de cifrado RSA de objetivo completo. Este problema, también conocido como FREAK, solo afectaba a los conexiones con los servidores que admitían suites de cifrado RSA de objetivo de exportación, y se ha solucionado eliminando la compatibilidad con claves RSA efímeras.

    ID CVE

    CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti y Jean Karim Zinzindohoue de Prosecco en Inria Paris

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: