Acerca del contenido de seguridad de watchOS 2.2

En este documento se describe el contenido de seguridad de watchOS 2.2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

watchOS 2.2

  • Imágenes de disco

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel

    Descripción: Existía un problema de daños de memoria en el procesamiento de imágenes de disco. El problema se solucionó mediante una mejora del manejo de memoria.

    ID CVE

    CVE-2016-1717: Frank Graziano de Yahoo! Equipo de prueba de penetración

  • FontParser

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Abrir un archivo PDF creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario

    Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist y r3dsm0k3) en colaboración con la iniciativa Zero Day (ZDI) de Trend Micro

  • Protocolo HTTP

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Un atacante remoto podía ejecutar código arbitrario

    Descripción: Existían diversas vulnerabilidades en las versiones de nghttp2 anteriores a 1.6.0, la más grave de las cuales podría haber derivado en la ejecución remota del código. Para solucionar esto, se actualizó nghttp2 a la versión 1.6.0.

    ID CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios problemas de daños en la memoria a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2016-1719: Ian Beer de Google Project Zero

  • IOHIDFamily

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía determinar la distribución de la memoria del kernel

    Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1748: Brandon Azad

  • Kernel

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios problemas de daños en la memoria a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2016-1720: Ian Beer de Google Project Zero

    CVE-2016-1721: Ian Beer de Google Project Zero y Ju Zhu de Trend Micro

    CVE-2016-1754: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer de Google Project Zero

  • Kernel

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionó un problema en el uso después de la liberación a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2016-1750: CESG

  • Kernel

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionaron varios desbordamientos de enteros a través de una mejora en la validación de las entradas.

    ID CVE

    CVE-2016-1753: Juwei Lin Trend Micro en colaboración con la iniciativa Zero Day (ZDI) de Trend Micro

  • Kernel

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía omitir la firma de código

    Descripción: Existía un problema de permisos en el cual se concedía el permiso de ejecución de manera incorrecta. Para solucionar este problema, se mejoró la validación de los permisos.

    ID CVE

    CVE-2016-1751: Eric Monti de Square Mobile Security

  • Kernel

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Es posible que una aplicación pueda producir una denegación de servicio

    Descripción: Para solucionar un problema de denegación de servicio, se mejoró la validación.

    ID CVE

    CVE-2016-1752: CESG

  • libxml2

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: El procesamiento de un archivo XML creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: Se solucionaron varios problemas de daños en la memoria a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale de Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany de Google

    CVE-2015-7942: Kostya Serebryany de Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff en colaboración con la iniciativa Zero Day (ZDI) de Trend Micro

    CVE-2016-1762

  • libxslt

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: El procesamiento de un archivo XML creado con fines malintencionados podía ocasionar el cierre inesperado de la aplicación o la ejecución de código arbitrario

    Descripción: Se solucionó un problema de confusión del tipo a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2015-7995: puzzor 

  • Mensajes

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Es posible que un atacante capaz de desactivar la fijación de certificados de Apple, interceptar conexiones de TLS, inyectar mensajes y grabar mensajes de tipo de elementos adjuntos cifrados pueda leer elementos adjuntos

    Descripción: Se solucionó un problema criptográfico rechazando los mensajes duplicados en el cliente.

    ID CVE

    CVE-2016-1788: Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers y Michael Rushanan de la Universidad Johns Hopkins

  • Seguridad

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Procesar un certificado creado con fines maliciosos podía ocasionar la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el decodificador ASN.1. Para solucionar este problema, se mejoró la validación de las entradas.

    ID CVE

    CVE-2016-1950: Francis Gabriel de Quarkslab

  • syslog

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel

    Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

    ID CVE

    CVE-2016-1722: Joshua J. Drake y Nikias Bassen de Zimperium zLabs

  • TrueTypeScaler

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines maliciosos podía ocasionar la ejecución de código arbitrario

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Para solucionar este problema, se mejoró la validación de las entradas.

    ID CVE

    CVE-2016-1775: 0x1byte en colaboración con la iniciativa Zero Day (ZDI) de Trend Micro

  • WebKit

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario

    Descripción: Se solucionaron varios problemas de daños en la memoria a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • Wi-Fi

    Disponible para Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès

    Impacto: Un atacante con una posición de red privilegiada podía ejecutar código arbitrario

    Descripción: Existía un problema de daños en la memoria y validación de marcos para un tipo de Ethernet determinado. Se solucionó este problema a través de una validación adicional del tipo de Ethernet y a través de un mejor manejo de la memoria.

    ID CVE

    CVE-2016-0801: Un investigador anónimo

    CVE-2016-0802: Un investigador anónimo

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: