Acerca del contenido de seguridad de watchOS 6

En este documento se describe el contenido de seguridad de watchOS 6.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 6

Publicado el 19 de septiembre de 2019

Audio

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2019-8706: Yu Zhou de Ant-financial Light-Year Security Lab

Entrada añadida el 29 de octubre de 2019

Audio

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: procesar un archivo de audio creado con fines malintencionados podría mostrar memoria restringida

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2019-8850: anónimo en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 4 de diciembre de 2019

CFNetwork

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2019-8753: Łukasz Pilorz de Standard Chartered GBS Poland

Entrada añadida el 29 de octubre de 2019

CoreAudio

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: procesar una película creada con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2019-8705: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 8 de octubre de 2019

CoreCrypto

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: procesar un gran volumen de entradas podría provocar una denegación del servicio

Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.

CVE-2019-8741: Nicky Mouha de NIST

Entrada añadida el 29 de octubre de 2019

Foundation

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución arbitraria de código.

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2019-8746: Natalie Silvanovich y Samuel Groß de Google Project Zero

Entrada actualizada el 29 de octubre de 2019; actualizo el 11 de febrero de 2020

IOUSBDeviceFamily

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8718: Joshua Hill y Sem Voigtländer

Entrada añadida el 29 de octubre de 2019

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se trató una vulnerabilidad de corrupción de la memoria mejorando el bloqueo.

CVE-2019-8740: Mohamed Ghannam (@_simo36)

Entrada añadida el 29 de octubre de 2019

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación local podría ser capaz de leer un identificador de cuenta persistente

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2019-8809: Apple

Entrada añadida el 29 de octubre de 2019

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8712: Mohamed Ghannam (@_simo36)

Entrada añadida el 29 de octubre de 2019

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel

Descripción: existía un problema de corrupción de memoria en la gestión de paquetes IPv6. Este problema se ha solucionado mejorando la gestión de la memoria.

CVE-2019-8744: Zhuo Liang de Qihoo 360 Vulcan Team

Entrada añadida el 29 de octubre de 2019

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Entrada añadida el 29 de octubre de 2019

Kernel

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8717: Jann Horn de Google Project Zero

Entrada añadida el 8 de octubre de 2019

libxml2

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: varios problemas en libxml2

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la validación de las entradas.

CVE-2019-8749: detectado por OSS-Fuzz

CVE-2019-8756: detectado por OSS-Fuzz

Entrada añadida el 8 de octubre de 2019

mDNSResponder

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un atacante en proximidad física puede observar pasivamente los nombres de los dispositivos en las comunicaciones AWDL

Descripción: este problema se ha resuelto reemplazando los nombres de los dispositivos con un identificador aleatorio.

CVE-2019-8799: David Kreitschmann y Milan Stute de Secure Mobile Networking Lab en la Universidad Técnica de Darmstadt

Entrada añadida el 29 de octubre de 2019

UIFoundation

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de un archivo de texto creado con fines malintencionados podría provocar la ejecución de código arbitrario

Descripción: se ha solucionado un desbordamiento de búfer con la mejora de la comprobación de límites.

CVE-2019-8745: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 8 de octubre de 2019

UIFoundation

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de sistema

Descripción: se ha solucionado un problema de memoria mejorando la gestión de la memoria.

CVE-2019-8831: riusksk de VulWar Corp en colaboración con Zero Day Initiative de Trend Micro

Entrada añadida el 18 de noviembre de 2019

WebKit

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se han solucionado varios problemas de corrupción de memoria mejorando la gestión de la memoria.

CVE-2019-8710: detectado por OSS-Fuzz

CVE-2019-8728: Junho Jang de LINE Security Team y Hanul Choi de ABLY Corporation

CVE-2019-8734: detectado por OSS-Fuzz

CVE-2019-8751: Dongzhuo Zhao en colaboración con ADLab de Venustech

CVE-2019-8752: Dongzhuo Zhao en colaboración con ADLab de Venustech

CVE-2019-8773: detectado por OSS-Fuzz

Entrada añadida el 29 de octubre de 2019

Wi-Fi

Disponible para: Apple Watch Series 3 y modelos posteriores

Impacto: un dispositivo podía ser rastreado de forma pasiva por su dirección MAC wifi

Descripción: se ha solucionado un problema de privacidad del usuario eliminando la dirección MAC de transmisión.

CVE-2019-8854: Ta-Lun Yen de UCCU Hacker y FuriousMacTeam de la Academia Naval de los Estados Unidos y la MITRE Corporation

Entrada añadida el 4 de diciembre de 2019

Otros agradecimientos

Audio

Queremos dar las gracias a VulWar Corp en colaboración con la Zero Day Initiative de Trend Micro por su ayuda.

Entrada añadida el 29 de octubre de 2019

boringssl

Queremos dar las gracias a Thijs Alkemade (@xnyhps) de Computest por su ayuda.

Entrada añadida el 8 de octubre de 2019

HomeKit

Nos gustaría dar las gracias a Tian Zhang por su ayuda.

Entrada añadida el 29 de octubre de 2019

Kernel

Queremos dar las gracias a Brandon Azad del Google Project Zero por su ayuda.

Entrada añadida el 29 de octubre de 2019

mDNSResponder

Queremos dar las gracias por su ayuda a Gregor Lang de e.solutions GmbH.

Entrada añadida el 29 de octubre de 2019

Perfiles

Queremos dar las gracias a Erik Johnson de Vernon Hills High School y James Seeley (@Code4iOS) de Shriver Job Corps por su ayuda.

Entrada añadida el 29 de octubre de 2019

Safari

Queremos dar las gracias a Yiğit Can YILMAZ (@yilmazcanyigit) por su ayuda.

Entrada añadida el 29 de octubre de 2019; actualizado el 4 de abril de 2020

WebKit

Queremos dar las gracias a MinJeong Kim de Information Security Lab, JaeCheol Ryou de Information Security Lab y la Universidad Nacional Chungnam de Corea del Sur y cc en colaboración con Zero Day Initiative de Trend Micro por su ayuda.

Entrada añadida el 29 de octubre de 2019

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: