Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, consulta el sitio web Seguridad de los productos de Apple.
Para obtener información acerca de la clave PGP de seguridad de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.
Para obtener información acerca de las actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
watchOS 2
Apple Pay
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: algunas tarjetas podrían permitir que un terminal recupere información limitada acerca de transacciones recientes al realizar un pago.
Descripción: la funcionalidad de registro de transacciones se habilitó en ciertas configuraciones. Este problema se solucionó eliminando la funcionalidad de registro de transacciones.
ID CVE
CVE-2015-5916
Audio
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: la reproducción de un archivo de audio malicioso podría ocasionar el cierre inesperado de la aplicación.
Descripción: existía un problema de errores de memoria en la administración de archivos de audio. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5862: YoungJin Yoon de Information Security Lab. (Asesor:Prof. Taekyoung Kwon), Universidad Yonsei, Seúl, Corea del Sur
Política de confianza en certificados
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: se actualizó la política de confianza en certificados.
Descripción: se actualizó la política de confianza en certificados. Puedes ver la lista completa de certificados en http://support.apple.com/es-la/HT204873.
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante con una posición de red privilegiada podría interceptar conexiones SSL/TLS.
Descripción: existía un problema de validación de certificados en NSURL cuando un certificado cambiaba. Este problema se solucionó mejorando la validación de certificados.
ID CVE
CVE-2015-5824: Timothy J. Wood de The Omni Group
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: la conexión a un proxy web malicioso podría establecer cookies maliciosas para un sitio web.
Descripción: existía un problema en la administración de las respuestas de conexión de los proxies. Este problema se solucionó eliminando la cabecera set-cookie al analizar la respuesta de conexión.
ID CVE
CVE-2015-5841: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante con una posición de red privilegiada puede realizar un seguimiento de la actividad de un usuario.
Descripción: existía un problema de cookies entre dominios en la administración de dominios de nivel superior. El problema se solucionó mejorando las restricciones de creación de cookies.
ID CVE
CVE-2015-5885: Xiaofeng Zheng de Blue Lotus Team, Universidad de Tsinghua
CFNetwork
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una persona con acceso físico a un dispositivo iOS podría leer los datos en caché de las apps de Apple.
Descripción: los datos en caché estaban encriptados con una clave protegida únicamente por el UID de hardware. Este problema se solucionó encriptando los datos en caché con una clave protegida por el UID de hardware y el código de acceso del usuario.
ID CVE
CVE-2015-5898: Andreas Kurtz de NESO Security Labs
CoreCrypto
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante podría determinar una clave privada.
Descripción: mediante la observación de muchos intentos de firma o de desencriptación, un atacante podría haber determinado la clave RSA privada. Este problema se solucionó mejorando los algoritmos de encriptación.
CoreText
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: el procesamiento de un archivo de tipo de letra creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.
Descripción: existía un problema de errores de memoria en la administración de archivos de tipos de letra. Este problema se solucionó mejorando la validación de entradas.
ID CVE
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team
Data Detectors Engine
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: el procesamiento de un archivo de texto creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.
Descripción: existían problemas de errores de memoria en el procesamiento de los archivos de texto. Estos problemas se solucionaron mejorando la comprobación de los límites.
ID CVE
CVE-2015-5829: M1x7e1 de Safeye Team (www.safeye.org)
Herramientas de desarrollador
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de errores de memoria en dyld. Esto se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5876: beist de grayhash
Imágenes de disco
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de errores de memoria en DiskImages. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5847: Filippo Bigarella, Luca Todesco
dyld
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación podría omitir la firma de código.
Descripción: existía un problema con la validación de la firma de código de los ejecutables. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del kernel.
Descripción: existían varios problemas de errores de memoria en el kernel. Estos problemas se solucionaron mejorando la administración de la memoria.
ID CVE
CVE-2015-5918: Apple
CVE-2015-5919: Apple
ICU
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: varias vulnerabilidades en ICU.
Descripción: existían varias vulnerabilidades en las versiones de ICU anteriores a la 53.1.0. Se solucionaron actualizando ICU a la versión 55.1.
ID CVE
CVE-2014-8146
CVE-2015-1205
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación maliciosa podría determinar el diseño de memoria del kernel.
Descripción: existía un problema que ocasionó la divulgación de contenido de la memoria del kernel. Este problema se solucionó mejorando la comprobación de los límites.
ID CVE
CVE-2015-5834: Cererdlong de Alibaba Mobile Security Team
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de errores de memoria en IOAcceleratorFamily. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5848: Filippo Bigarella
IOKit
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación maliciosa podría ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de errores de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del sistema.
Descripción: existía un problema de errores de memoria en IOMobileFrameBuffer. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante local podría leer la memoria del kernel.
Descripción: existía un problema de inicialización de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5863: Ilja van Sprundel de IOActive
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del kernel.
Descripción: existía un problema de errores de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5868: Cererdlong de Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard de m00nbsd
CVE-2015-5903: CESG
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante local podría controlar el valor de las cookies de pila.
Descripción: existían varias debilidades en la generación de cookies de pila del espacio del usuario. Esto se solucionó mejorando la generación de cookies de pila.
ID CVE
CVE-2013-3951: Stefan Esser
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un proceso local podría modificar otros procesos sin comprobaciones de autorizaciones.
Descripción: existía un problema por el cual los procesos root que utilizaban la API processor_set_tasks podían recuperar los puertos de tareas de otros procesos. Este problema se solucionó mediante la comprobación adicional de autorizaciones.
ID CVE
CVE-2015-5882: Pedro Vilaça, a partir de la investigación previa de Ming-chieh Pan y Sung-ting Tsai; Jonathan Levin
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un atacante en un segmento LAN local podría desactivar el enrutamiento IPv6.
Descripción: existía un problema de validación insuficiente en la administración de los anuncios de router de IPv6 que permitía que un atacante estableciera el límite de saltos en un valor arbitrario. Este problema se solucionó aplicando un límite mínimo de saltos.
ID CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría determinar el diseño de memoria del kernel.
Descripción: existía un problema en XNU que ocasionó la divulgación de contenido de la memoria del kernel. Esto se solucionó mejorando la inicialización de las estructuras de memoria del kernel.
ID CVE
CVE-2015-5842: beist de grayhash
Kernel
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ocasionar una denegación de servicio por parte del sistema.
Descripción: existía un problema en el montaje de la unidad HFS. Esto se solucionó agregando más comprobaciones de validación.
ID CVE
CVE-2015-5748: Maxime Villard de m00nbsd
libpthread
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: un usuario local podría ejecutar código arbitrario con privilegios del kernel.
Descripción: existía un problema de errores de memoria en el kernel. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5899: Lufeng Li de Qihoo 360 Vulcan Team
PluginKit
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: una aplicación empresarial maliciosa puede instalar extensiones antes de que la aplicación se establezca como confiable.
Descripción: existía un problema en la validación de las extensiones durante la instalación. Esto se solucionó mejorando la comprobación de las apps.
ID CVE
CVE-2015-5837: Zhaofeng Chen, Hui Xue y Tao (Lenx) Wei de FireEye, Inc.
removefile
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: el procesamiento de datos maliciosos podría ocasionar el cierre inesperado de la aplicación.
Descripción: existía un error de desbordamiento en las rutinas de división checkint. Este problema se solucionó mejorando las rutinas de división.
ID CVE
CVE-2015-5840: un investigador anónimo
SQLite
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: existían varias vulnerabilidades en SQLite v3.8.5.
Descripción: existían varias vulnerabilidades en SQLite v3.8.5. Los problemas se solucionaron actualizando SQLite a la versión 3.8.10.2.
ID CVE
CVE-2015-5895
tidy
Disponible para: Apple Watch Sport, Apple Watch y Apple Watch Edition
Impacto: visitar un sitio web creado con fines maliciosos podría ocasionar la ejecución de código arbitrario.
Descripción: existía un problema de errores de memoria en Tidy. Este problema se solucionó mejorando la administración de la memoria.
ID CVE
CVE-2015-5522: Fernando Muñoz de NULLGroup.com
CVE-2015-5523: Fernando Muñoz de NULLGroup.com