Acerca del contenido de seguridad de watchOS 2
En este documento, se describe el contenido de seguridad de watchOS 2.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos Apple, consulta Cómo usar la clave PGP de seguridad de los productos Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
watchOS 2
Apple Pay
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Algunas tarjetas podían permitir que un terminal recuperara información limitada acerca de transacciones recientes al realizar un pago.
Descripción: La funcionalidad de registro de transacciones se habilitó en ciertas configuraciones. Para solucionar este problema, se eliminó la funcionalidad de registro de transacciones.
ID CVE
CVE-2015-5916
Audio
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: La reproducción de un archivo de audio creado con fines malintencionados podía ocasionar el cierre inesperado de una aplicación.
Descripción: Existía un problema de daños en la memoria en el manejo de archivos de audio. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Asesor:Prof. Taekyoung Kwon), Universidad Yonsei, Seúl, Corea del Sur
Certificate Trust Policy
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Actualización de la política de confianza en certificados.
Descripción: La política de confianza en certificados se actualizó. Para consultar la lista completa de certificados, visita https://support.apple.com/HT204873.
CFNetwork
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante con una posición de red privilegiada podía interceptar conexiones SSL/TLS.
Descripción: Existía un problema de validación de certificados en NSURL cuando un certificado cambiaba. Este problema se solucionó mejorando la validación de certificados.
ID CVE
CVE-2015-5824: Timothy J. Wood de The Omni Group
CFNetwork
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: La conexión a un servidor proxy web creado con fines malintencionados podía establecer cookies creadas con fines malintencionados para un sitio web.
Descripción: Existía un problema en el manejo de respuestas de conexión a servidores proxy. Este problema se solucionó eliminando la cabecera set-cookie al analizar la respuesta de conexión.
ID CVE
CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Tsinghua University
CFNetwork
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante con una posición de red privilegiada podía realizar un seguimiento de la actividad de un usuario.
Descripción: Existía un problema de cookies entre dominios en el manejo de dominios de nivel superior. El problema se solucionó mejorando las restricciones de creación de cookies.
ID CVE
CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Tsinghua University
CFNetwork
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una persona con acceso físico a un dispositivo iOS podía leer los datos en caché de las aplicaciones de Apple.
Descripción: Los datos en caché estaban encriptados con una clave protegida únicamente por el UID de hardware. Este problema se solucionó encriptando los datos en caché con una clave protegida por el UID de hardware y el código de acceso del usuario.
ID CVE
CVE-2015-5898: Andreas Kurtz de NESO Security Lab
CoreCrypto
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante podía determinar una clave privada.
Descripción: Mediante la observación de muchos intentos de firma o de desencriptación, un atacante podía haber determinado la clave RSA privada. Este problema se solucionó mejorando los algoritmos de encriptación.
CoreText
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: El procesamiento de un archivo de texto creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.
Descripción: Existían problemas de daños en la memoria en el procesamiento de los archivos de texto. Para solucionar estos problemas, se mejoró la comprobación de límites.
ID CVE
CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)
Dev Tools
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños en la memoria en dyld. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5876: beist de grayhash
Disk Images
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños en la memoria en DiskImages. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación podía omitir la firma de código.
Descripción: Existía un problema con la validación de la firma de códigos de ejecutables. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existían varios problemas de daños en la memoria en el kernel. Para solucionar estos problemas, se mejoró el manejo de la memoria.
ID CVE
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Existían varias vulnerabilidades en ICU.
Descripción: Existían varias vulnerabilidades en las versiones de ICU anteriores a 53.1.0. Se actualizó ICU a la versión 55.1 para solucionar estos problemas.
ID CVE
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand de Google Project Zero
IOAcceleratorFamily
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación creada con fines malintencionados podía determinar la distribución de la memoria del kernel.
Descripción: Existía un problema que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team
IOAcceleratorFamily
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños en la memoria en IOAcceleratorFamily. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5848: Filippo Bigarella
IOKit
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación creada con fines malintencionados podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños en la memoria en el kernel. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del sistema.
Descripción: Existía un problema de daños en la memoria en IOMobileFrameBuffer. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante local podía leer la memoria del kernel.
Descripción: Existía un problema de inicialización de la memoria en el kernel. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5863: Ilja van Sprundel de IOActive
Kernel
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema de daños en la memoria en el kernel. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard de m00nbsd
CVE-2015-5903: CESG
Kernel
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante local podía controlar el valor de las cookies de pila.
Descripción: Existían varias debilidades en la generación de cookies de pila del espacio del usuario. Esto se solucionó mejorando la generación de cookies de pila.
ID CVE
CVE-2013-3951: Stefan Esser
Kernel
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un proceso local podía modificar otros procesos sin comprobaciones de autorizaciones.
Descripción: Existía un problema por el cual los procesos raíz que utilizaban la API processor_set_tasks podían recuperar los puertos de tareas de otros procesos. Este problema se solucionó mediante la comprobación adicional de autorizaciones.
ID CVE
CVE-2015-5882: Pedro Vilaça, a partir de la investigación previa de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin
Kernel
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un atacante en un segmento LAN local podía inactivar el enrutamiento IPv6.
Descripción: Existía un problema de validación insuficiente en el manejo de los anuncios de router IPv6 que permitía que un atacante estableciera el límite de saltos en un valor arbitrario. Este problema se solucionó aplicando un límite mínimo de saltos.
ID CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía determinar la distribución de la memoria del kernel.
Descripción: Existía un problema en XNU que ocasionó la divulgación de contenido de la memoria del kernel. Esto se solucionó mejorando la inicialización de las estructuras de memoria del kernel.
ID CVE
CVE-2015-5842: beist de grayhash
Kernel
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ocasionar una denegación de servicio del sistema.
Descripción: Existía un problema en el montaje de la unidad HFS. Esto se solucionó agregando más comprobaciones de validación.
ID CVE
CVE-2015-5748: Maxime Villard de m00nbsd
libpthread
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.
Descripción: Existía un problema de daños en la memoria en el kernel. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team
PluginKit
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Una aplicación empresarial creada con fines malintencionados podía instalar extensiones antes de que la aplicación se estableciera como confiable.
Descripción: Existía un problema en la validación de las extensiones durante la instalación. Esto se solucionó mejorando la comprobación de las aplicaciones.
ID CVE
CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.
removefile
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: El procesamiento de datos creados con fines malintencionados podía provocar el cierre inesperado de una aplicación.
Descripción: Existía un error de desbordamiento en las rutinas de división checkint. Este problema se solucionó mejorando las rutinas de división.
ID CVE
CVE-2015-5840: un investigador anónimo
SQLite
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Existían varias vulnerabilidades en SQLite v3.8.5.
Descripción: Existían varias vulnerabilidades en SQLite v3.8.5. Se actualizó SQLite a la versión 3.8.10.2 para solucionar estos problemas.
ID CVE
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Disponible para Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.
Descripción: Existía un problema de daños en la memoria en Tidy. Este problema se solucionó mejorando el manejo de la memoria.
ID CVE
CVE-2015-5522: Fernando Muñoz de NULLGroup.com
CVE-2015-5523: Fernando Muñoz de NULLGroup.com
La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.