Acerca del contenido de seguridad de watchOS 3.2

En este documento se describe el contenido de seguridad de watchOS 3.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos de Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

watchOS 3.2

Disponible el 27 de marzo de 2017

Audio

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2430: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

CVE-2017-2462: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

Carbon

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de un archivo .dfont creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: existía un problema de desbordamiento de búfer en la gestión de archivos de tipos de letra. Este problema se ha solucionado mejorando la comprobación de los límites.

CVE-2017-2379: riusksk (泉哥) de Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponible para: todos los modelos de Apple Watch

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio

Descripción: se ha solucionado una recurrencia infinita mejorando la gestión del estado.

CVE-2017-2417: riusksk(泉哥) de Tencent Security Platform Department

CoreGraphics

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2444: Mei Wang de 360 GearTeam

CoreText

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio

Descripción: se ha solucionado un problema de falta de recursos mediante la mejora de la validación de entrada.

CVE-2017-2461: investigador anónimo, Isaac Archambault de IDAoADI

FontParser

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2487: riusksk(泉哥) de Tencent Security Platform Department

CVE-2017-2406: riusksk(泉哥) de Tencent Security Platform Department

FontParser

Disponible para: todos los modelos de Apple Watch

Impacto: analizar un archivo de tipo de letra creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2017-2407: riusksk(泉哥) de Tencent Security Platform Department

FontParser

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de entrada.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Disponible para: todos los modelos de Apple Watch

Impacto: un servidor HTTP/2 malintencionado podría provocar un comportamiento indefinido

Descripción: existían varios problemas en nghttp2 antes de 1.17.0. Estos problemas se han solucionado mediante la actualización de nghttp2 a la versión 1.17.0.

CVE-2017-2428

Entrada actualizada el 28 de marzo de 2017

ImageIO

Disponible para: todos los modelos de Apple Watch

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) de KeenLab, Tencent

ImageIO

Disponible para: todos los modelos de Apple Watch

Impacto: ver un archivo JPEG creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2432: investigador anónimo en colaboración con la Zero Day Initiative de Trend Micro

ImageIO

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de un archivo creado con fines malintencionados podría provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2467

ImageIO

Disponible para: todos los modelos de Apple Watch

Impacto: procesar una imagen creada con fines malintencionados podría provocar el cierre inesperado de la aplicación

Descripción: existía una lectura fuera de los límites en las versiones de LibTIFF antes de 4.0.7. Este problema se ha solucionado actualizando LibTIFF en ImageIO a la versión 4.0.7.

CVE-2016-3619

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2401: Lufeng Li de Qihoo 360 Vulcan Team

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2017-2440: investigador anónimo

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de raíz

Descripción: se ha solucionado una condición de carrera mejorando la gestión de la memoria.

CVE-2017-2456: lokihardt de Google Project Zero

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2472: Ian Beer de Google Project Zero

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-2473: Ian Beer de Google Project Zero

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de un byte mejorando la comprobación de límites.

CVE-2017-2474: Ian Beer de Google Project Zero

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado una condición de carrera mediante bloqueo.

CVE-2017-2478: Ian Beer de Google Project Zero

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de desbordamiento del búfer mejorando la gestión de la memoria.

CVE-2017-2482: Ian Beer de Google Project Zero

CVE-2017-2483: Ian Beer de Google Project Zero

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de alto nivel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-2490: Ian Beer de Google Project Zero, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido

Entrada añadida el 31 de marzo de 2017

Teclados

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Disponible para: todos los modelos de Apple Watch

Impacto: un atacante local podría ser capaz de cambiar los permisos del sistema de archivos en directorios arbitrarios

Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Para resolver este problema se ha mejorado la validación de los enlaces simbólicos.

CVE-2017-2390: Omer Medan de enSilo Ltd

libc++abi

Disponible para: todos los modelos de Apple Watch

Impacto: cambiar los identificadores de una aplicación C++ con fines malintencionados a los identificadores fuente podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2441

libxslt

Disponible para: todos los modelos de Apple Watch

Impacto: varias vulnerabilidades en libxslt

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2017-5029: Holger Fuhrmannek

Entrada añadida el 28 de marzo de 2017

Seguridad

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar un código arbitrario con privilegios de raíz

Descripción: se ha solucionado un desbordamiento de búfer mediante la mejora de la comprobación de límites.

CVE-2017-2451: Alex Radocea de Longterm Security, Inc.

Seguridad

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un certificado x509 creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: había un problema de corrupción de memoria en el análisis de certificados. Se ha solucionado el problema mejorando la validación de las entradas.

CVE-2017-2485: Aleksandar Nikolic de Cisco Talos

WebKit

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2017-2415: Kai Kang de Xuanwu Lab de Tencent (tencent.com)

WebKit

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un consumo alto de memoria

Descripción: se ha solucionado un problema de consumo de recursos incontrolado mejorando el procesamiento de una expresión regular.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución de un código arbitrario

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-2471: Ivan Fratric de Google Project Zero

Otros agradecimientos

XNU

Queremos agradecer a Lufeng Li de Qihoo 360 Vulcan Team su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: