Acerca del contenido de seguridad de watchOS 2

Este documento describe el contenido de seguridad de watchOS 2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

Siempre que sea posible, se utilizan ID CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.

Para saber más acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

watchOS 2

  • Apple Pay

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Algunas tarjetas pueden permitir que un terminal recupere información limitada sobre transacciones recientes al realizar un pago

    Descripción: La funcionalidad de registro de transacciones se había habilitado en ciertas configuraciones. Este problema se ha solucionado eliminando la funcionalidad de registro de transacciones.

    ID CVE

    CVE-2015-5916

  • Audio

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: La reproducción de un archivo de audio con fines malintencionados podría provocar un cierre inesperado de la aplicación

    Descripción: Existía un problema de corrupción de memoria en la gestión de archivos de audio. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Adv.: prof. Taekyoung Kwon), Universidad de Yonsei, Seúl, Corea

  • Política de confianza en certificados

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Actualización de la política de confianza en certificados

    Descripción: La política de confianza en certificados se ha actualizado. Se puede ver la lista completa de certificados en https://support.apple.com/kb/HT204873?viewlocale=es_ES.

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TKS

    Descripción: Existía un problema con la validación de certificados en NSURL cuando se cambiaba un certificado. Este problema se ha solucionado mejorando la validación de los certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood de The Omni Group

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Conectarse con un proxy web con fines malintencionados podría establecer cookies malintencionadas para un sitio web

    Descripción: Existía un problema con la gestión de las respuestas de conexión a proxy. Este problema se ha solucionado eliminando el encabezado set-cookie mientras se analiza la respuesta de conexión.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante que se encontrase en una posición de red privilegiada podía rastrear la actividad de un usuario

    Descripción: Existía un problema con las cookies entre dominios en la gestión de los niveles de nivel superior. Este problema se ha solucionado mejorando las restricciones para la creación de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una persona con acceso físico a un dispositivo iOS podría leer datos de la memoria caché de apps de Apple

    Descripción: Los datos de la memoria caché se encriptaban con una clave protegida únicamente por el UID de hardware. Este problema se ha solucionado encriptando los datos de la caché con una clave protegida por el UID de hardware y el código del usuario.

    ID CVE

    CVE-2015-5898: Andreas Kurtz de NESO Security Labs

  • CoreCrypto

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante podía determinar una clave privada

    Descripción: Por medio de la observación de muchos intentos de inicio de sesión o desencriptación, un atacante podría ser capaz de determinar la clave privada de RSA. Este problema se ha solucionado utilizando algoritmos de encriptación mejorados.

  • CoreText

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Había un problema de corrupción de memoria en el procesamiento de archivos de tipo de letra. Este problema se ha solucionado mejorando la validación de las entradas.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario

    Descripción: Existían problemas de corrupción de memoria en el procesamiento de archivos de texto. Estos problemas se han solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)

  • Dev Tools

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Había un problema de corrupción de la memoria en dyld. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5876: beist de grayhash

  • Imágenes de disco

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Había un problema de corrupción de la memoria en DiskImages. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación podría omitir la firma de código

    Descripción: Existía un problema con la validación de la firma de código de los ejecutables. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existían varios problemas de corrupción de la memoria en el kernel. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Varias vulnerabilidades en ICU

    Descripción: Había varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Estas se solucionaron actualizando ICU a la versión 55.1.

    ID CVE

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de determinar el diseño de la memoria de kernel

    Descripción: Existía un problema que provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de corrupción de la memoria en IOAcceleratorFamily. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación maliciosa podría ser capaz de ejecutar código arbitrario con privilegios del sistema

    Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ejecutar código arbitrario con privilegios de sistema

    Descripción: Existía un problema de corrupción de la memoria en IOMobileFrameBuffer. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante local podría leer la memoria de kernel

    Descripción: Existía un problema de inicialización de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel de IOActive

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard de m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante local podría controlar el valor de las cookies de pila

    Descripción: Existían varias vulnerabilidades en la generación de cookies de pila del espacio de usuarios. Este problema se ha solucionado mejorando la generación de las cookies de pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un proceso local podía modificar otros procesos sin comprobaciones de autorización

    Descripción: Existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks tenían permiso para recuperar los puertos de tareas de otros procesos. Este problema se ha solucionado incorporando comprobaciones de autorización adicionales.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, trabajando sobre investigación original de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un atacante situado en un segmento de LAN local podía deshabilitar el enrutamiento de IPv6

    Descripción: Existía un problema de validación insuficiente en la gestión de las advertencias de router de IPv6, que permitía a un atacante establecer el límite de saltos con un valor arbitrario. Este problema se ha solucionado imponiendo un límite de saltos mínimo.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ser capaz de determinar el diseño de memoria de kernel

    Descripción: Existía un problema en XNU que provocaba la divulgación del contenido de la memoria de kernel. Este problema se ha solucionado mejorando la inicialización de las estructuras de memoria de kernel.

    ID CVE

    CVE-2015-5842: beist de grayhash

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ser capaz de provocar la denegación de servicio del sistema

    Descripción: Existía un problema en el montaje de unidades HFS. Este problema se ha solucionado añadiendo comprobaciones de validación adicionales.

    ID CVE

    CVE-2015-5748: Maxime Villard de m00nbsd

  • libpthread

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Un usuario local podría ser capaz de ejecutar código arbitrario con privilegios de kernel

    Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team

  • PluginKit

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Una aplicación de empresa con fines malintencionados podía instalar extensiones antes de que se confirmase la confianza en la aplicación

    Descripción: Existía un problema en la validación de las extensiones durante la instalación. Este problema se ha solucionado mejorando la verificación de las apps.

    ID CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: El procesamiento de datos malintencionados podría provocar un cierre inesperado de la aplicación

    Descripción: Existía un fallo de desbordamiento en las rutinas de división de checkint. Este problema se ha solucionado mejorando las rutinas de división.

    ID CVE

    CVE-2015-5840: Un investigador anónimo

  • SQLite

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: Varias vulnerabilidades en SQLite v3.8.5

    Descripción: Existían varias vulnerabilidades en SQLite v3.8.5. Estos problemas se han solucionado actualizando SQLite a la versión 3.8.10.2.

    ID CVE

    CVE-2015-5895

  • Tidy

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: La visita a un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario

    Descripción: Existía un problema de corrupción de la memoria en Tidy. Estos problemas se han solucionado mejorando la gestión de la memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz de NULLGroup.com

    CVE-2015-5523: Fernando Muñoz de NULLGroup.com

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: