Acerca del contenido de seguridad de watchOS 2

En este documento, se describe el contenido de seguridad de watchOS 2.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.

Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

watchOS 2

  • Apple Pay

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: algunas tarjetas podrían permitir que un terminal recupere información limitada acerca de transacciones recientes al realizar un pago.

    Descripción: la funcionalidad de registro de transacciones se habilitó en ciertas configuraciones. Este problema se solucionó eliminando la funcionalidad de registro de transacciones.

    ID CVE

    CVE-2015-5916

  • Audio

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: la reproducción de un archivo de audio malicioso podría ocasionar el cierre inesperado de la aplicación.

    Descripción: existía un problema de errores de memoria en la administración de archivos de audio. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Asesor:Prof. Taekyoung Kwon), Universidad Yonsei, Seúl, Corea del Sur

  • Política de confianza en certificados

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: se actualizó la política de confianza en certificados.

    Descripción: se actualizó la política de confianza en certificados. Puedes ver la lista completa de certificados en http://support.apple.com/es-la/HT204873.

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS.

    Descripción: existía un problema de validación de certificados en NSURL cuando un certificado cambiaba. Este problema se solucionó mejorando la validación de certificados.

    ID CVE

    CVE-2015-5824: Timothy J. Wood de The Omni Group

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: la conexión a un proxy web malicioso podría establecer cookies maliciosas para un sitio web.

    Descripción: existía un problema en la administración de las respuestas de conexión de los proxies. Este problema se solucionó eliminando la cabecera set-cookie al analizar la respuesta de conexión.

    ID CVE

    CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante con una posición de red privilegiada puede realizar un seguimiento de la actividad de un usuario.

    Descripción: existía un problema de cookies entre dominios en la administración de dominios de nivel superior. El problema se solucionó mejorando las restricciones de creación de cookies.

    ID CVE

    CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua

  • CFNetwork

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una persona con acceso físico a un dispositivo iOS podría leer los datos en caché de las apps de Apple.

    Descripción: los datos en caché estaban encriptados con una clave protegida únicamente por el UID de hardware. Este problema se solucionó encriptando los datos en caché con una clave protegida por el UID de hardware y el código de acceso del usuario.

    ID CVE

    CVE-2015-5898: Andreas Kurtz de NESO Security Labs

  • CoreCrypto

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante podría determinar una clave privada.

    Descripción: mediante la observación de muchos intentos de firma o de desencriptación, un atacante podría haber determinado la clave RSA privada. Este problema se solucionó mejorando los algoritmos de encriptación.

  • CoreText

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: el procesamiento de un archivo de tipo de letra creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

  • Data Detectors Engine

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: el procesamiento de un archivo de texto creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.

    Descripción: existían problemas de errores de memoria en el procesamiento de los archivos de texto. Estos problemas se solucionaron mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)

  • Herramientas de desarrollador

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en dyld. Esto se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5876: beist de grayhash

  • Imágenes de disco

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en DiskImages. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5847: Filippo Bigarella, Luca Todesco

  • dyld

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación podría omitir la firma de código.

    Descripción: existía un problema con la validación de la firma de código de los ejecutables. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del kernel.

    Descripción: existían varios problemas de errores de memoria en el kernel. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5918: Apple

    CVE-2015-5919: Apple

  • ICU

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: varias vulnerabilidades en ICU.

    Descripción: existían varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Se solucionaron actualizando ICU a la versión 55.1.

    ID CVE

    CVE-2014-8146

    CVE-2015-1205

  • IOAcceleratorFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría determinar el diseño de memoria del kernel.

    Descripción: existía un problema que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.

    ID CVE

    CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team

  • IOAcceleratorFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en IOAcceleratorFamily. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: existía un problema de errores de memoria en IOMobileFrameBuffer. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante local podría leer la memoria del kernel.

    Descripción: existía un problema de inicialización de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5863: Ilja van Sprundel de IOActive

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del kernel.

    Descripción: existía un problema de errores de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team

    CVE-2015-5896: Maxime Villard de m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante local podría controlar el valor de las cookies de pila.

    Descripción: existían varias debilidades en la generación de cookies de pila del espacio del usuario. Esto se solucionó mejorando la generación de cookies de pila.

    ID CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un proceso local podría modificar otros procesos sin comprobaciones de autorizaciones.

    Descripción: existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks podían recuperar los puertos de tareas de otros procesos. Este problema se solucionó mediante la comprobación adicional de autorizaciones.

    ID CVE

    CVE-2015-5882: Pedro Vilaça, a partir de la investigación previa de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un atacante en un segmento LAN local podría desactivar el enrutamiento IPv6.

    Descripción: existía un problema de validación insuficiente en la administración de los anuncios de router de IPv6 que permitía que un atacante estableciera el límite de saltos en un valor arbitrario. Este problema se solucionó aplicando un límite mínimo de saltos.

    ID CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría determinar el diseño de memoria del kernel.

    Descripción: existía un problema en XNU que ocasionó la divulgación de contenido de la memoria del kernel. Esto se solucionó mejorando la inicialización de las estructuras de memoria del kernel.

    ID CVE

    CVE-2015-5842: beist de grayhash

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ocasionar una denegación de servicio por parte del sistema.

    Descripción: existía un problema en el montaje de la unidad HFS. Esto se solucionó agregando más comprobaciones de validación.

    ID CVE

    CVE-2015-5748: Maxime Villard de m00nbsd

  • libpthread

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: un usuario local podría ejecutar código arbitrario con privilegios del kernel.

    Descripción: existía un problema de errores de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team

  • PluginKit

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: una aplicación empresarial maliciosa puede instalar extensiones antes de que la aplicación se establezca como confiable.

    Descripción: existía un problema en la validación de las extensiones durante la instalación. Esto se solucionó mejorando la comprobación de las apps.

    ID CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.

  • removefile

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: el procesamiento de datos maliciosos podría ocasionar el cierre inesperado de la aplicación.

    Descripción: existía un error de desbordamiento en las rutinas de división checkint. Este problema se solucionó mejorando las rutinas de división.

    ID CVE

    CVE-2015-5840: un investigador anónimo

  • SQLite

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: existían varias vulnerabilidades en SQLite v3.8.5.

    Descripción: existían varias vulnerabilidades en SQLite v3.8.5. Los problemas se solucionaron actualizando SQLite a la versión 3.8.10.2.

    ID CVE

    CVE-2015-5895

  • tidy

    Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition

    Impacto: visitar un sitio web creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.

    Descripción: existía un problema de errores de memoria en Tidy. Este problema se solucionó mejorando la administración de la memoria.

    ID CVE

    CVE-2015-5522: Fernando Muñoz de NULLGroup.com

    CVE-2015-5523: Fernando Muñoz de NULLGroup.com

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: