Acerca del contenido de seguridad de watchOS 4

En este documento se describe el contenido de seguridad de watchOS 4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Las comunicaciones con Apple se pueden cifrar mediante la clave PGP de seguridad de los productos Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

watchOS 4

Disponible el 19 de septiembre de 2017

802.1X

Disponible para: todos los modelos de Apple Watch

Impacto: un atacante podría ser capaz de explotar los puntos débiles de TLS 1.0

Descripción: se ha solucionado un problema de seguridad del protocolo habilitando TLS 1.1 y TLS 1.2.

CVE-2017-13832: Doug Wussler de la Universidad Estatal de Florida

Entrada añadida el 31 de octubre de 2017 y actualizada el 10 de noviembre de 2017

CFNetwork

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-13829: Niklas Baumstark y Samuel Gro en colaboración con Zero Day Initiative de Trend Micro 

CVE-2017-13833: Niklas Baumstark y Samuel Gro en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 10 de noviembre de 2017

CFNetwork Proxies

Disponible para: todos los modelos de Apple Watch

Impacto: un atacante en una posición de red privilegiada podría provocar una denegación del servicio

Descripción: se han solucionado varios problemas de denegación de servicio mejorando la gestión de la memoria.

CVE-2017-7083: Abhinav Bansal de Zscaler, Inc.

Entrada añadida el 25 de septiembre de 2017

CFString

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2017-13821: Centro de Seguridad Cibernética Australiano, Directiva de Señales Australiana

Entrada añadida el 31 de octubre de 2017

CoreAudio

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado una lectura fuera de los límites actualizando a la versión 1.1.4 de Opus.

CVE-2017-0381: V.E.O (@VYSEa) de Mobile Threat Research Team, Trend Micro

Entrada añadida el 25 de septiembre de 2017

CoreText

Disponible para: todos los modelos de Apple Watch

Impacto: el procesamiento de un archivo de tipo de letra creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de uso de memoria mejorando la gestión de la memoria.

CVE-2017-13825: Centro de Seguridad Cibernética Australiano, Directiva de Señales Australiana

Entrada añadida el 31 de octubre de 2017

file

Disponible para: todos los modelos de Apple Watch

Impacto: varios problemas en file

Descripción: se han solucionado varios problemas actualizando a la versión 5.31.

CVE-2017-13815: detectado por OSS-Fuzz

Entrada añadida el 31 de octubre de 2017 y actualizada el 18 de octubre de 2018

Fonts

Disponible para: todos los modelos de Apple Watch

Impacto: renderizar texto que no es de confianza podría provocar una suplantación

Descripción: se ha solucionado un problema de inconsistencia en la interfaz del usuario mediante la mejora de la gestión del estado.

CVE-2017-13828: Leonard Grey y Robert Sesek de Google Chrome

Entrada añadida el 31 de octubre de 2017 y actualizada el 10 de noviembre de 2017

HFS

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-13830: Sergej Schumilo de la Universidad Ruhr de Bochum

Entrada añadida el 31 de octubre de 2017

ImageIO

Disponible para: todos los modelos de Apple Watch

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-13814: Centro de Seguridad Cibernética Australiano, Directiva de Señales Australiana

Entrada añadida el 31 de octubre de 2017

ImageIO

Disponible para: todos los modelos de Apple Watch

Impacto: procesar una imagen creada con fines malintencionados podría originar la denegación del servicio

Descripción: Existía un problema de revelación de información en el procesamiento de las imágenes de disco. Este problema se ha solucionado mejorando la gestión de memoria.

CVE-2017-13831: Glen Carmichael

Entrada añadida el 31 de octubre de 2017 y actualizada el 10 de noviembre de 2017

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: un usuario local podría leer la memoria de kernel

Descripción: existía un problema de lectura fuera de los límites que provocaba la divulgación del contenido de la memoria de kernel. Esto se ha solucionado mejorando la validación de las entradas.

CVE-2017-13817: Maxime Villard (m00nbsd)

Entrada añadida el 31 de octubre de 2017

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría leer la memoria restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2017-13818: el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido

CVE-2017-13836: Vlad Tsyrklevich

CVE-2017-13841: Vlad Tsyrklevich

CVE-2017-13840: Vlad Tsyrklevich

CVE-2017-13842: Vlad Tsyrklevich

CVE-2017-13782: investigador anónimo

Entrada añadida el 31 de octubre de 2017 y actualizada el 18 de junio de 2018

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-13843: investigador anónimo, investigador anónimo

Entrada añadida el 31 de octubre de 2017

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-7114: Alex Plaskett de MWR InfoSecurity

Entrada añadida el 25 de septiembre de 2017

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-13854: shrek_wzw de Qihoo 360 Nirvan Team

Entrada añadida el 2 de noviembre de 2017

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: procesar contenido binario mach erróneo podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la validación.

CVE-2017-13834: Maxime Villard (m00nbsd)

Entrada añadida el 10 de noviembre de 2017

Kernel

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación creada con fines malintencionados podría obtener información sobre la presencia y el funcionamiento de otras aplicaciones del dispositivo

Descripción: una aplicación podía acceder a información sobre la actividad de red del sistema operativo sin límites. Este problema se ha solucionado reduciendo la información disponible para aplicaciones de otros fabricantes.

CVE-2017-13873: Xiaokuan Zhang y Yinqian Zhang de la Universidad Estatal de Ohio, Xueqiang Wang y XiaoFeng Wang de la Universidad de Indiana Bloomington, y Xiaolong Bai de la Universidad Tsinghua

Entrada añadida el 30 de noviembre de 2017

libarchive

Disponible para: todos los modelos de Apple Watch

Impacto: descomprimir un archivo creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2017-13813: encontrado por OSS-Fuzz

CVE-2017-13816: encontrado por OSS-Fuzz

Entrada añadida el 31 de octubre de 2017

libarchive

Disponible para: todos los modelos de Apple Watch

Impacto: descomprimir un archivo creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: existían varios problemas de corrupción de memoria en libarchive. Se han solucionado estos problemas mejorando la validación de las entradas.

CVE-2017-13812: encontrado por OSS-Fuzz

Entrada añadida el 31 de octubre de 2017

libc

Disponible para: todos los modelos de Apple Watch

Impacto: un atacante remoto podría ser capaz de provocar una denegación del servicio

Descripción: se ha solucionado un problema de falta de recursos en glob() mejorando el algoritmo.

CVE-2017-7086: Russ Cox de Google

Entrada añadida el 25 de septiembre de 2017

libc

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría provocar una denegación del servicio

Descripción: se ha solucionado un problema de uso de memoria mejorando la gestión de la memoria.

CVE-2017-1000373

Entrada añadida el 25 de septiembre de 2017

libexpat

Disponible para: todos los modelos de Apple Watch

Impacto: varios problemas en expat

Descripción: se han solucionado varios problemas actualizando a la versión 2.2.1

CVE-2016-9063

CVE-2017-9233

Entrada añadida el 25 de septiembre de 2017

libxml2

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un XML creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2017-9049: Wei Lei y Liu Yang de la Nanyang Technological University de Singapur

Entrada añadida el 18 de octubre de 2018

libxml2

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un XML creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2017-7376: investigador anónimo

CVE-2017-5130: investigador anónimo

Entrada añadida el 18 de octubre de 2018

libxml2

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un XML creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado un problema de corrupción de memoria mediante la mejora de la validación de las entradas.

CVE-2017-9050: Mateusz Jurczyk (j00ru) de Google Project Zero

Entrada añadida el 18 de octubre de 2018

libxml2

Disponible para: todos los modelos de Apple Watch

Impacto: procesar un XML creado con fines malintencionados podría provocar la finalización inesperada de la aplicación o la ejecución de código arbitrario

Descripción: se ha solucionado una falta de referencia a un puntero nulo mediante la mejora de la validación.

CVE-2018-4302: Gustavo Grieco

Entrada añadida el 18 de octubre de 2018

Seguridad

Disponible para: todos los modelos de Apple Watch

Impacto: podría confiarse en un certificado revocado

Descripción: había un problema de validación de certificados en la gestión de los datos de revocación. Para resolver este problema se ha mejorado la validación.

CVE-2017-7080: un investigador anónimo, Sven Driemecker de adesso mobile solutions gmbh, un investigador anónimo, Rune Darrud (@theflyingcorpse) de Bærum kommune

Entrada añadida el 25 de septiembre de 2017

SQLite

Disponible para: todos los modelos de Apple Watch

Impacto: varios problemas en SQLite

Descripción: se han solucionado varios problemas actualizando a la versión 3.19.3.

CVE-2017-10989: encontrado por OSS-Fuzz

CVE-2017-7128: encontrado por OSS-Fuzz

CVE-2017-7129: encontrado por OSS-Fuzz

CVE-2017-7130: encontrado por OSS-Fuzz

Entrada añadida el 25 de septiembre de 2017

SQLite

Disponible para: todos los modelos de Apple Watch

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-7127: investigador anónimo

Entrada añadida el 25 de septiembre de 2017

Wi-Fi

Disponible para: todos los modelos de Apple Watch

Impacto: un código malintencionado que se ejecuta en el chip de Wi-Fi podría ejecutar código arbitrario con privilegios kernel en el procesador de la aplicación

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2017-7103: Gal Beniamini de Google Project Zero

CVE-2017-7105: Gal Beniamini de Google Project Zero

CVE-2017-7108: Gal Beniamini de Google Project Zero

CVE-2017-7110: Gal Beniamini de Google Project Zero

CVE-2017-7112: Gal Beniamini de Google Project Zero

Wi-Fi

Disponible para: todos los modelos de Apple Watch

Impacto: un código malintencionado que se ejecuta en el chip de Wi-Fi podría leer memoria de kernel restringida

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2017-7116: Gal Beniamini de Google Project Zero

zlib

Disponible para: todos los modelos de Apple Watch

Impacto: varios problemas en zlib

Descripción: se han solucionado varios problemas actualizando a la versión 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Entrada añadida el 25 de septiembre de 2017

Otros agradecimientos

Seguridad

Queremos mostrar nuestro agradecimiento a Abhinav Bansal de Zscaler, Inc. por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se proporciona sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, rendimiento o uso de sitios web o productos de terceros. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Ponte en contacto con el proveedor para obtener información adicional. Otros nombres de empresas o productos pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: