Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.
watchOS 3.2
Disponible el 27 de marzo de 2017
Audio
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2430: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro
CVE-2017-2462: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro
Carbon
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo .dfont creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.
CVE-2017-2379: riusksk (泉哥) de Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Disponible para: todos los modelos de Apple Watch
Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio
Descripción: se ha solucionado una recurrencia infinita mejorando la gestión del estado.
CVE-2017-2417: riusksk(泉哥) de Tencent Security Platform Department
CoreGraphics
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2017-2444: Mei Wang de 360 GearTeam
CoreText
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Disponible para: todos los modelos de Apple Watch
Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Disponible para: todos los modelos de Apple Watch
Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio
Descripción: se ha solucionado un problema de falta de recursos mediante la mejora de la validación de entrada.
CVE-2017-2461: investigador anónimo, Isaac Archambault de IDAoADI
FontParser
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2017-2487: riusksk(泉哥) de Tencent Security Platform Department
CVE-2017-2406: riusksk(泉哥) de Tencent Security Platform Department
FontParser
Disponible para: todos los modelos de Apple Watch
Impacto: analizar un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.
CVE-2017-2407: riusksk(泉哥) de Tencent Security Platform Department
FontParser
Disponible para: todos los modelos de Apple Watch
Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Disponible para: todos los modelos de Apple Watch
Impacto: un servidor HTTP/2 malintencionado podría provocar un comportamiento indefinido
Descripción: existían varios problemas en nghttp2 antes de 1.17.0. Estos problemas se han solucionado mediante la actualización de nghttp2 a la versión 1.17.0.
CVE-2017-2428
Entrada actualizada el 28 de marzo de 2017
ImageIO
Disponible para: todos los modelos de Apple Watch
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) de KeenLab, Tencent
ImageIO
Disponible para: todos los modelos de Apple Watch
Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2432: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro
ImageIO
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2467
ImageIO
Disponible para: todos los modelos de Apple Watch
Impacto: procesar una imagen creada con fines malintencionados podría provocar el cierre inesperado de la aplicación
Descripción: existía una lectura fuera de los límites en las versiones de LibTIFF antes de 4.0.7. Este problema se ha solucionado actualizando LibTIFF en ImageIO a la versión 4.0.7.
CVE-2016-3619
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2401: Lufeng Li de Qihoo 360 Vulcan Team
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2017-2440: investigador anónimo
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz
Descripción: se ha solucionado una condición de carrera mejorando la gestión de la memoria.
CVE-2017-2456: lokihardt de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2017-2472: Ian Beer de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.
CVE-2017-2473: Ian Beer de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de un byte mejorando la comprobación de límites.
CVE-2017-2474: Ian Beer de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado una condición de carrera mediante bloqueo.
CVE-2017-2478: Ian Beer de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel
Descripción: se ha solucionado un problema de desbordamiento del búfer mejorando la gestión de la memoria.
CVE-2017-2482: Ian Beer de Google Project Zero
CVE-2017-2483: Ian Beer de Google Project Zero
Kernel
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de alto nivel
Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.
CVE-2017-2490: Ian Beer de Google Project Zero, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido
Entrada añadida el 31 de marzo de 2017
Teclados
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar código arbitrario
Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Disponible para: todos los modelos de Apple Watch
Impacto: un atacante local podría ser capaz de cambiar los permisos del sistema de archivos en directorios arbitrarios
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Para resolver este problema se ha mejorado la validación de los enlaces simbólicos.
CVE-2017-2390: Omer Medan de enSilo Ltd
libc++abi
Disponible para: todos los modelos de Apple Watch
Impacto: cambiar los identificadores de una aplicación C++ con fines malintencionados a los identificadores fuente podría provocar la ejecución de código arbitrario
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2017-2441
libxslt
Disponible para: todos los modelos de Apple Watch
Impacto: varias vulnerabilidades en libxslt
Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.
CVE-2017-5029: Holger Fuhrmannek
Entrada añadida el 28 de marzo de 2017
Seguridad
Disponible para: todos los modelos de Apple Watch
Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz
Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.
CVE-2017-2451: Alex Radocea de Longterm Security, Inc.
Seguridad
Disponible para: todos los modelos de Apple Watch
Impacto: procesar un certificado x509 creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: había un problema de corrupción de memoria en el análisis de certificados. Se ha solucionado el problema mejorando la validación de las entradas.
CVE-2017-2485: Aleksandar Nikolic de Cisco Talos
WebKit
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2017-2415: Kai Kang de Xuanwu Lab de Tencent (tencent.com)
WebKit
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un consumo alto de memoria
Descripción: se ha solucionado un problema de consumo de recursos incontrolado mejorando el procesamiento de una expresión regular.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponible para: todos los modelos de Apple Watch
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2017-2471: Ivan Fratric de Google Project Zero
Otros agradecimientos
XNU
Queremos agradecer a Lufeng Li de Qihoo 360 Vulcan Team su ayuda.