Acerca del contenido de seguridad de watchOS 6.2.5

En este documento se describe el contenido de seguridad de watchOS 6.2.5.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Tienes una lista de las versiones más recientes en la página Actualizaciones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante un ID CVE.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 6.2.5

Publicado el 18 de mayo de 2020

Cuentas

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: un atacante remoto podría provocar una denegación de servicio

Descripción: se ha solucionado un problema de denegación de servicio mejorando la validación de entrada.

CVE-2020-9827: Jannik Lorenz de SEEMOO en TU Darmstadt

AppleMobileFileIntegrity

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría interactuar con los procesos del sistema para acceder a información privada y realizar acciones privilegiadas

Descripción: se ha solucionado un problema de análisis de autorización mejorando el análisis.

CVE-2020-9842: Linus Henze (pinauten.de)

Audio

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9815: Yu Zhou (@yuzhou6666) en colaboración con Zero Day Initiative de Trend Micro

Audio

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de un archivo de audio creado con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2020-9791: Yu Zhou (@yuzhou6666) en colaboración con Zero Day Initiative de Trend Micro

CoreText

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: procesar un mensaje de texto creado con fines malintencionados podría provocar una denegación de servicio de la aplicación

Descripción: se ha solucionado un problema de validación mejorando el saneamiento de entrada.

CVE-2020-9829: Aaron Perris (@aaronp613), un investigador anónimo, Carlos S Tech, Sam Menzies de Sam's Lounge, Sufiyan Gouri de Lovely Professional University (India), Suleman Hasan Rathor de Arabic-Classroom.com

FontParser

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: la apertura de un archivo PDF diseñado con fines malintencionados podría provocar el cierre inesperado de la aplicación o la ejecución arbitraria de código

Descripción: se ha solucionado una escritura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9816: Peter Nguyen Vu Hoang de STAR Labs en colaboración con Zero Day Initiative de Trend Micro

ImageIO

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2020-3878: Samuel Groß de Google Project Zero

ImageIO

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: procesar una imagen creada con fines malintencionados podría provocar la ejecución arbitraria de código

Descripción: se ha solucionado una escritura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9789: Wenchao Li de VARAS@IIE

CVE-2020-9790: Xingwei Lin de Ant-financial Light-Year Security Lab

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2020-9821: Xinru Chi y Tielei Wang de Pangu Lab

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de memoria de otra aplicación

Descripción: se ha solucionado un problema de divulgación de información eliminando el código vulnerable.

CVE-2020-9797: investigador anónimo

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un desbordamiento de enteros mejorando la validación de las entradas.

CVE-2020-9852: Tao Huang y Tielei Wang de Pangu Lab

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación podría ejecutar código arbitrario con privilegios de kernel

Descripción: se ha solucionado un problema de uso después de estar libre mejorando la gestión de la memoria.

CVE-2020-9795: Zhuo Liang de Qihoo 360 Vulcan Team

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación podría ser capaz de provocar el cierre inesperado del sistema o la escritura de la memoria del kernel

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2020-9808: Xinru Chi y Tielei Wang de Pangu Lab

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: un usuario local podría leer la memoria del kernel

Descripción: se ha solucionado un problema de revelación de información mejorando la gestión del estado.

CVE-2020-9811: Tielei Wang de Pangu Lab

CVE-2020-9812: derrek (@derrekr6)

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel

Descripción: un problema lógico provocaba la corrupción de la memoria. Este problema se ha solucionado mejorando la gestión del estado.

CVE-2020-9813: Xinru Chi de Pangu Lab

CVE-2020-9814: Xinru Chi y Tielei Wang de Pangu Lab

Kernel

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría determinar el diseño de la memoria de kernel

Descripción: se ha solucionado un problema de revelación de información mejorando la gestión del estado.

CVE-2020-9809: Benjamin Randazzo (@____benjamin)

Mail

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de un mensaje de correo creado con fines malintencionados podría provocar daños en la memoria heap

Descripción: se ha solucionado un problema de consumo de memoria mejorando la gestión de la memoria.

CVE-2020-9819: ZecOps.com

Mail

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de un mensaje de correo creado con fines malintencionados podría provocar modificaciones inesperadas en la memoria o el cierre inesperado de la aplicación

Descripción: se ha solucionado una escritura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9818: ZecOps.com

SQLite

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación creada con fines malintencionados podría provocar una denegación de servicio o potencialmente revelar contenido de la memoria

Descripción: se ha solucionado una lectura fuera de los límites mejorando la comprobación de límites.

CVE-2020-9794

Preferencias del Sistema

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: una aplicación podría obtener privilegios de alto nivel

Descripción: se ha solucionado un problema de condición de carrera mejorando la gestión del estado.

CVE-2020-9839: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución universal de secuencias de comandos entre sitios.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2020-9805: investigador anónimo

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2020-9802: Samuel Groß de Google Project Zero

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: un atacante remoto podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de lógica mejorando las restricciones.

CVE-2020-9850: @jinmo123, @setuid0x0_ y @insu_yun_en de @SSLab_Gatech en colaboración con Zero Day Initiative de Trend Micro

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar un ataque de ejecución de secuencias de comandos entre sitios

Descripción: se ha solucionado un problema de validación de las entradas mejorando dicha validación.

CVE-2020-9843: Ryan Pickren (ryanpickren.com)

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de memoria mejorando la validación.

CVE-2020-9803: Wen Xu de SSLab en Georgia Tech

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de corrupción de memoria mejorando la gestión del estado.

CVE-2020-9806: Wen Xu de SSLab en Georgia Tech

CVE-2020-9807: Wen Xu de SSLab en Georgia Tech

WebKit

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la ejecución arbitraria de código.

Descripción: se ha solucionado un problema de confusión de tipo mejorando la gestión de la memoria.

CVE-2020-9800: Brendan Draper (@6r3nd4n) en colaboración con Zero Day Initiative de Trend Micro

WebRTC

Disponible para: Apple Watch Series 1 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de acceso mejorando la gestión de la memoria.

CVE-2019-20503: Natalie Silvanovich de Google Project Zero

Otros agradecimientos

CoreText

Nos gustaría expresar nuestro agradecimiento a Jiska Classen (@naehrdine) y Dennis Heinze (@ttdennis) de Secure Mobile Networking Lab por su ayuda.

ImageIO

Nos gustaría expresar nuestro agradecimiento a Lei Sun por su ayuda.

IOHIDFamily

Nos gustaría expresar nuestro agradecimiento a Andy Davis de NCC Group por su ayuda.

Kernel

Queremos dar las gracias a Brandon Azad del Google Project Zero por su ayuda.

Safari

Nos gustaría expresar nuestro agradecimiento a Luke Walker de Manchester Metropolitan University por su ayuda.

WebKit

Nos gustaría expresar nuestro agradecimiento a Aidan Dunlap de UT Austin por su ayuda.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: