Acerca del contenido de seguridad de watchOS 3.2

En este documento se describe el contenido de seguridad de watchOS 3.2.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página sobre seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

watchOS 3.2

Publicado el 27 de marzo de 2017

Audio

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de audio creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2430: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2017-2462: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

Carbon

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo .dfont creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2017-2379: riusksk (泉哥) de Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar una denegación de servicio.

Descripción: Se solucionó una recursión infinita mejorando la administración de estado.

CVE-2017-2417: riusksk (泉哥) de Tencent Security Platform Department

CoreGraphics

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.

CVE-2017-2444: Mei Wang de 360 GearTeam

CoreText

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un mensaje de texto creado con fines malintencionados podía ocasionar una denegación de servicio de la aplicación.

Descripción: Se solucionó un problema de agotamiento de recursos mejorando la validación de entradas.

CVE-2017-2461: Un investigador anónimo, Isaac Archambault de IDAoADI

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.

CVE-2017-2487: riusksk (泉哥) de Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El análisis de un archivo de tipo de letra creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario.

Descripción: Varios problemas de daños en la memoria se solucionaron mejorando la validación de entradas.

CVE-2017-2407: riusksk (泉哥) de Tencent Security Platform Department

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Disponible para todos los modelos de Apple Watch

Impacto: Un servidor HTTP/2 con fines malintencionados podía causar un comportamiento indefinido.

Descripción: Existían varios problemas en las versiones de nghttp2 anteriores a 1.17.0. Se solucionaron actualizando nghttp2 a la versión 1.17.0.

CVE-2017-2428

Entrada agregada el 28 de marzo de 2017

ImageIO

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) de KeenLab, Tencent

ImageIO

Disponible para todos los modelos de Apple Watch

Impacto: La visualización de un archivo JPEG creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2432: Un investigador anónimo en colaboración con la iniciativa Zero Day de Trend Micro

ImageIO

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2467

ImageIO

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar el cierre inesperado de la aplicación.

Descripción: Existía un problema de lectura fuera de los límites en las versiones de LibTIFF anteriores a 4.0.7. Se solucionó actualizando LibTIFF en ImageIO a la versión 4.0.7.

CVE-2016-3619

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2401: Lufeng Li de Qihoo 360 Vulcan Team

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de desbordamiento de enteros mejorando la validación de entradas.

CVE-2017-2440: Un investigador anónimo

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios de usuario root.

Descripción: Se solucionó un problema de condición de carrera mejorando el manejo de la memoria.

CVE-2017-2456: lokihardt de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2472: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación malintencionada podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2017-2473: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de error por un paso mejorando la comprobación de límites.

CVE-2017-2474: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó una condición de carrera mejorando el bloqueo.

CVE-2017-2478: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando el manejo de la memoria.

CVE-2017-2482: Ian Beer de Google Project Zero

CVE-2017-2483: Ian Beer de Google Project Zero

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios elevados.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2017-2490: Ian Beer de Google Project Zero, National Cyber Security Centre (NCSC) del Reino Unido

Entrada agregada el 31 de marzo de 2017

Teclados

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante local podía modificar los permisos del sistema de archivos en directorios arbitrarios.

Descripción: Existía un problema de validación en el manejo de enlaces simbólicos. Este problema se solucionó mejorando la validación de enlaces simbólicos.

CVE-2017-2390: Omer Medan de enSilo Ltd

libc++abi

Disponible para todos los modelos de Apple Watch

Impacto: La decodificación de una aplicación en C++ creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2441

libxslt

Disponible para todos los modelos de Apple Watch

Impacto: Existían varias vulnerabilidades en libxslt.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2017-5029: Holger Fuhrmannek

Entrada agregada el 28 de marzo de 2017

Seguridad

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios de usuario raíz.

Descripción: Se solucionó un problema de desbordamiento del búfer mejorando la comprobación de los límites.

CVE-2017-2451: Alex Radocea de Longterm Security, Inc.

Seguridad

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un certificado x509 creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Existía un problema de daños en la memoria en el procesamiento de certificados. Este problema se solucionó mejorando la validación de entradas.

CVE-2017-2485: Aleksandar Nikolic de Cisco Talos

WebKit

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de confusión de tipo mejorando el manejo de la memoria.

CVE-2017-2415: Kai Kang de Tencent's Xuanwu Lab (tencent.com)

WebKit

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar un alto consumo de memoria.

Descripción: Se solucionó un problema de consumo de recursos no controlado mejorando el procesamiento de expresiones regulares.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2017-2471: Ivan Fratric de Google Project Zero

Otros agradecimientos

XNU

Nos gustaría darle las gracias a Lufeng Li de Qihoo 360 Vulcan Team por su ayuda.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: