Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para saber más acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
watchOS 2
Apple Pay
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Algunas tarjetas pueden permitir que un terminal recupere información limitada sobre transacciones recientes al realizar un pago
Descripción: La funcionalidad de registro de transacciones se había habilitado en ciertas configuraciones. Este problema se ha solucionado eliminando la funcionalidad de registro de transacciones.
ID CVE
CVE-2015-5916
Audio
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: La reproducción de un archivo de audio con fines malintencionados podría provocar un cierre inesperado de la aplicación
Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de audio. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Adv.: prof. Taekyoung Kwon), Universidad de Yonsei, Seúl, Corea
Política de confianza en certificados
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Actualización de la política de confianza en certificados
Descripción: La política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en https://support.apple.com/kb/HT204873?viewlocale=es_ES.
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TKS
Descripción: Existía un problema con la validación de certificados en NSURL cuando se cambiaba un certificado. Este problema se ha solucionado mejorando la validación de los certificados.
ID CVE
CVE-2015-5824: Timothy J. Wood de The Omni Group
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Conectarse con un proxy web con fines malintencionados podría establecer cookies malintencionadas para un sitio web
Descripción: Existía un problema con la gestión de las respuestas de conexión a proxy. Este problema se ha solucionado eliminando el encabezado set-cookie mientras se analiza la respuesta de conexión.
ID CVE
CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante que se encontrase en una posición de red privilegiada podía rastrear la actividad de un usuario
Descripción: Existía un problema con las cookies entre dominios en la gestión de los niveles de nivel superior. Este problema se ha solucionado mejorando las restricciones para la creación de cookies.
ID CVE
CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una persona con acceso físico a un dispositivo iOS podría leer datos de la memoria caché de apps de Apple
Descripción: Los datos de la memoria caché se encriptaban con una clave protegida únicamente por el UID de hardware. Este problema se ha solucionado encriptando los datos de la caché con una clave protegida por el UID de hardware y el código del usuario.
ID CVE
CVE-2015-5898: Andreas Kurtz de NESO Security Labs
CoreCrypto
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante podía determinar una clave privada
Descripción: Por medio de la observación de muchos intentos de inicio de sesión o desencriptación, un atacante podría ser capaz de determinar la clave privada de RSA. Este problema se ha solucionado utilizando algoritmos de encriptación mejorados.
CoreText
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Había un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.
ID CVE
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existían problemas de corrupción de memoria en el procesamiento de archivos de texto. Estos problemas se han solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)
Dev Tools
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Había un problema de corrupción de la memoria en dyld. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5876: beist de grayhash
Imágenes de disco
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Había un problema de corrupción de la memoria en DiskImages. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación podría omitir la firma de código
Descripción: Existía un problema con la validación de la firma de código de los ejecutables. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: Existían varios problemas de corrupción de la memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Varias vulnerabilidades en ICU
Descripción: Había varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Estas se solucionaron actualizando ICU a la versión 55.1.
ID CVE
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación maliciosa podría ser capaz de determinar el diseño de la memoria de kernel
Descripción: Existía un problema que provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de corrupción de la memoria en IOAcceleratorFamily. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5848: Filippo Bigarella
IOKit
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación maliciosa podría ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema
Descripción: Existía un problema de corrupción de la memoria en IOMobileFrameBuffer. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante local podría leer la memoria de kernel
Descripción: Existía un problema de inicialización de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5863: Ilja van Sprundel de IOActive
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard de m00nbsd
CVE-2015-5903: CESG
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante local podría controlar el valor de las cookies de pila
Descripción: Existían varias vulnerabilidades en la generación de cookies de pila del espacio de usuarios. Este problema se ha solucionado mejorando la generación de las cookies de pila.
ID CVE
CVE-2013-3951: Stefan Esser
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un proceso local podía modificar otros procesos sin comprobaciones de autorización
Descripción: Existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks tenían permiso para recuperar los puertos de tareas de otros procesos. Este problema se ha solucionado incorporando comprobaciones de autorización adicionales.
ID CVE
CVE-2015-5882: Pedro Vilaça, trabajando sobre investigación original de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante situado en un segmento de LAN local podía deshabilitar el enrutamiento de IPv6
Descripción: Existía un problema de validación insuficiente en la gestión de las advertencias de router de IPv6, que permitía a un atacante establecer el límite de saltos con un valor arbitrario. Este problema se ha solucionado imponiendo un límite de saltos mínimo.
ID CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel
Descripción: Existía un problema en XNU que provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la inicialización de las estructuras de memoria de kernel.
ID CVE
CVE-2015-5842: beist de grayhash
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema
Descripción: Existía un problema en el montaje de unidades HFS. Este problema se ha solucionado añadiendo comprobaciones de validación adicionales.
ID CVE
CVE-2015-5748: Maxime Villard de m00nbsd
libpthread
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel
Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team
PluginKit
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación de empresa con fines malintencionados podía instalar extensiones antes de que se confirmase la confianza en la aplicación
Descripción: Existía un problema en la validación de las extensiones durante la instalación. Este problema se ha solucionado mejorando la verificación de las apps.
ID CVE
CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.
removefile
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: El procesamiento de datos malintencionados podría provocar un cierre inesperado de la aplicación
Descripción: Existía un fallo de desbordamiento en las rutinas de división de checkint. Este problema se ha solucionado mejorando las rutinas de división.
ID CVE
CVE-2015-5840: Un investigador anónimo
SQLite
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Varias vulnerabilidades en SQLite v3.8.5
Descripción: Existían varias vulnerabilidades en SQLite v3.8.5. Estos problemas se han solucionado actualizando SQLite a la versión 3.8.10.2.
ID CVE
CVE-2015-5895
Tidy
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: La visita a un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de la memoria en Tidy. Estos problemas se han solucionado mejorando la gestión de la memoria.
ID CVE
CVE-2015-5522: Fernando Muñoz de NULLGroup.com
CVE-2015-5523: Fernando Muñoz de NULLGroup.com