Acerca de las actualizaciones de seguridad de Apple
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.
Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.
Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.
watchOS 6.2.5
Publicado el 18 de mayo de 2020
Cuentas
Disponible para: Apple Watch Series 1 y posterior
Impacto: un atacante remoto podría provocar una denegación de servicio.
Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.
CVE-2020-9827: Jannik Lorenz de SEEMOO en TU Darmstadt
AppleMobileFileIntegrity
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación creada con fines malintencionados podría interactuar con los procesos del sistema para acceder a información privada y llevar a cabo acciones privilegiadas.
Descripción: se ha solucionado un problema de análisis de autorización mejorando el análisis.
CVE-2020-9842: Linus Henze (pinauten.de)
Audio
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9815: Yu Zhou (@yuzhou6666) en colaboración con Zero Day Initiative de Trend Micro
Audio
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-9791: Yu Zhou (@yuzhou6666) en colaboración con Zero Day Initiative de Trend Micro
CoreText
Disponible para: Apple Watch Series 1 y posterior
Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar la denegación del servicio
Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.
CVE-2020-9829: Aaron Perris (@aaronp613), un investigador anónimo, Carlos S Tech, Sam Menzies de Sam's Lounge, Sufiyan Gouri de Lovely Professional University (India) y Suleman Hasan Rathor de Arabic-Classroom.com
FontParser
Disponible para: Apple Watch Series 1 y posterior
Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9816: Peter Nguyen Vu Hoang de STAR Labs en colaboración con Zero Day Initiative de Trend Micro
ImageIO
Disponible para: Apple Watch Series 1 y posterior
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.
CVE-2020-3878: Samuel Groß de Google Project Zero
ImageIO
Disponible para: Apple Watch Series 1 y posterior
Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9789: Wenchao Li de VARAS@IIE
CVE-2020-9790: Xingwei Lin de Ant-financial Light-Year Security Lab
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9821: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de memoria de otra aplicación.
Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.
CVE-2020-9797: investigador anónimo
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.
CVE-2020-9852: Tao Huang y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel.
Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.
CVE-2020-9795: Zhuo Liang de Qihoo 360 Vulcan Team
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación podría ser capaz de provocar el cierre inesperado del sistema o la escritura de la memoria del kernel
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9808: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: un usuario local podría leer la memoria de kernel
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-9811: Tielei Wang de Pangu Lab
CVE-2020-9812: derrek (@derrekr6)
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel.
Descripción: un problema lógico provocaba la corrupción de la memoria. Este problema se ha solucionado mejorando la gestión del estado.
CVE-2020-9813: Xinru Chi de Pangu Lab
CVE-2020-9814: Xinru Chi y Tielei Wang de Pangu Lab
Kernel
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel
Descripción: se ha solucionado un problema de divulgación de información mejorando la gestión del estado.
CVE-2020-9809: Benjamin Randazzo (@____benjamin)
libxpc
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación creada con fines malintencionados podría ser capaz de sobrescribir archivos arbitrarios
Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.
CVE-2020-9994: Apple
Entrada añadida el 21 de septiembre de 2020
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados podría provocar daños en la memoria heap.
Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.
CVE-2020-9819: ZecOps.com
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de un mensaje de correo electrónico creado con fines malintencionados podría provocar modificaciones inesperadas en la memoria o el cierre inesperado de la aplicación.
Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9818: ZecOps.com
rsync
Disponible para: Apple Watch Series 1 y posterior
Impacto: un atacante remoto podría sobrescribir los archivos existentes.
Descripción: había un problema de validación en la gestión de los enlaces simbólicos. Se ha resuelto este problema mejorando la validación de los enlaces simbólicos.
CVE-2014-9512: gaojianfeng
Entrada añadida el 28 de julio de 2020
SQLite
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación creada con fines malintencionados podría provocar una denegación de servicio o divulgar contenido de la memoria.
Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.
CVE-2020-9794
Preferencias del Sistema
Disponible para: Apple Watch Series 1 y posterior
Impacto: una aplicación podría obtener privilegios de alto nivel.
Descripción: se ha solucionado un problema de condición de carrera mejorando la gestión del estado.
CVE-2020-9839: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9805: investigador anónimo
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9802: Samuel Groß de Google Project Zero
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: un atacante remoto podría provocar la ejecución de código arbitrario.
Descripción: se ha solucionado un problema de lógica mejorando las restricciones.
CVE-2020-9850: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios
Descripción: se ha solucionado un problema de validación de las entradas mejorando dicha validación.
CVE-2020-9843: Ryan Pickren (ryanpickren.com)
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de memoria mejorando la validación.
CVE-2020-9803: Wen Xu de SSLab en Georgia Tech
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.
CVE-2020-9806: Wen Xu de SSLab en Georgia Tech
CVE-2020-9807: Wen Xu de SSLab en Georgia Tech
WebKit
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.
Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.
CVE-2020-9800: Brendan Draper (@6r3nd4n) en colaboración con Zero Day Initiative de Trend Micro
WebRTC
Disponible para: Apple Watch Series 1 y posterior
Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos
Descripción: se ha solucionado un problema de acceso mejorando la gestión de la memoria.
CVE-2019-20503: natashenka de Google Project Zero
Otros agradecimientos
CoreText
Nos gustaría expresar nuestro agradecimiento a Jiska Classen (@naehrdine) y Dennis Heinze (@ttdennis) de Secure Mobile Networking Lab por su ayuda.
ImageIO
Nos gustaría expresar nuestro agradecimiento a Lei Sun por su ayuda.
IOHIDFamily
Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.
Kernel
Nos gustaría expresar nuestro agradecimiento a Brandon Azad del Google Project Zero por su ayuda.
Safari
Nos gustaría expresar nuestro agradecimiento a Luke Walker de Manchester Metropolitan University por su ayuda.
WebKit
Nos gustaría expresar nuestro agradecimiento a Aidan Dunlap de UT Austin por su ayuda.