Acerca del contenido de seguridad de Watch OS 1.0.1

En este documento, se describe el contenido de seguridad de Watch OS 1.0.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

Watch OS 1.0.1

  • Política de confianza en certificados

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: se actualizó la política de confianza en certificados.

    Descripción: se actualizó la política de confianza en certificados. Se puede ver la lista completa de certificados en http://support.apple.com/kb/HT204873?viewlocale=es_LA

  • FontParser

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación que usaba NSXMLParser se podía emplear para divulgar información.

    Descripción: existía un problema de entidades externas XML en la administración de XML por parte de NSXMLParser. Este problema se solucionó evitando la carga de entidades externas de orígenes distintos.

    ID CVE

    CVE-2015-1092: Ikuya Fukumoto

  • IOHIDFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría determinar el diseño de memoria del kernel.

    Descripción: existía un problema en IOHIDFamily que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-1096: Ilja van Sprundel de IOActive

  • IOAcceleratorFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría determinar el diseño de memoria del kernel.

    Descripción: existía un problema en IOAcceleratorFamily que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó eliminando código innecesario.

    ID CVE

    CVE-2015-1094: Cererdlong de Alibaba Mobile Security Team

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría ocasionar una denegación de servicio por parte del sistema.

    Descripción: existía una condición de anticipación en la llamada al sistema setreuid. El problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2015-1099: Mark Mentovai de Google Inc.

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante con una posición de red privilegiada podría redirigir el tráfico de usuarios a servidores arbitrarios.

    Descripción: los redireccionamientos de ICMP se activaban por omisión. Este problema se solucionó desactivando los redireccionamientos de ICMP.

    ID CVE

    CVE-2015-1103: Zimperium Mobile Security Labs

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante remoto podría ocasionar una denegación de servicio.

    Descripción: existía un problema de incoherencia de estados en la administración de datos de TCP fuera de banda. El problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2015-1105: Kenton Varda de Sandstorm.io

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría aumentar los privilegios mediante el uso de un servicio comprometido y configurado para ejecutarse con privilegios reducidos.

    Descripción: las llamadas a los sistemas setreuid y setregid no pudieron abandonar privilegios permanentemente. Este problema se solucionó abandonando privilegios de manera correcta.

    ID CVE

    CVE-2015-1117: Mark Mentovai de Google Inc.

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante remoto podría eludir los filtros de la red.

    Descripción: el sistema trataba algunos paquetes de IPv6 de interfaces de red remotas como paquetes locales. El problema se solucionó rechazando estos paquetes.

    ID CVE

    CVE-2015-1104: Stephen Roettger del Google Security Team

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante con una posición de red privilegiada podría ocasionar la denegación del servicio.

    Descripción: existía una incoherencia de estados en el procesamiento de encabezados TCP. El problema se solucionó mejorando la administración de estado.

    ID CVE

    CVE-2015-1102: Andrey Khudyakov y Maxim Zhuravlev de Kaspersky Lab

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría ocasionar el cierre inesperado del sistema o leer la memoria del kernel.

    Descripción: existía un problema de acceso a la memoria fuera de límites en el kernel. El problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-1100: Maxime Villard de m00nbsd

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en el kernel. El problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-1101: lokihardt@ASRT, colaborador de Zero Day Initiative de HP

  • Secure Transport

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS.

    Descripción: Secure Transport aceptaba claves cortas efímeras RSA, que normalmente se usaban solo en conjuntos de encriptación RSA de fortaleza de exportación mediante conexiones que usaban conjuntos de encriptación RSA de fortaleza completa. Este problema, también conocido como FREAK, afectaba solamente la conexión con servidores que admitían el uso de conjuntos de encriptación RSA de fortaleza de exportación, y se solucionó eliminando la compatibilidad con las claves RSA efímeras.

    ID CVE

    CVE-2015-1067: Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti y Jean Karim Zinzindohoue, de Prosecco en Inria Paris

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: