Acerca del contenido de seguridad de watchOS 3.1

En este documento, se describe el contenido de seguridad de watchOS 3.1.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

watchOS 3.1

Fecha de publicación: 24 de octubre de 2016

AppleMobileFileIntegrity

Disponible para todos los modelos de Apple Watch

Impacto: Un ejecutable firmado podía sustituir código con la misma ID de equipo.

Descripción: Existía un problema de validación en el manejo de firmas de código. Este problema se solucionó mediante validaciones adicionales.

CVE-2016-7584: Mark Mentovai y Boris Vidolov de Google Inc.

Entrada agregada el 6 de diciembre de 2016

CoreGraphics

Disponible para todos los modelos de Apple Watch

Impacto: La visualización de un archivo JPEG creado con fines maliciosos podía ocasionar la ejecución de código arbitrario.

Descripción: Un problema de daños en la memoria se solucionó mejorando el manejo de la memoria.

CVE-2016-4673: Marco Grassi (@marcograss) de KeenLab (@keen_lab), Tencent

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: Al analizar un tipo de letra creado con fines maliciosos, se podía divulgar información confidencial del usuario.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la comprobación de estos.

CVE-2016-4660: Ke Liu de Tencent's Xuanwu Lab

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un archivo de tipo de letra creado con fines maliciosos podía ocasionar la ejecución de código arbitrario. 

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Para solucionar este problema, se mejoró la comprobación de los límites.

CVE-2016-4688: Simon Huang de la compañía Alipay, thelongestusernameofall@gmail.com

Entrada agregada el 27 de noviembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía provocar la finalización inesperada del sistema o la ejecución de código arbitrario en el kernel.

Descripción: Se presentaron varios problemas de validación de entrada en el código generado por MIG. Para solucionar estos problemas, se mejoró la validación.

CVE-2016-4669: Ian Beer de Google Project Zero

Entrada actualizada el 2 de noviembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una app podía divulgar la memoria del kernel.

Descripción: Se solucionó un problema de validación mejorando el saneamiento de entrada.

CVE-2016-4680: Max Bazaliy de Lookout e in7egral

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una app local podía ejecutar código arbitrario con privilegios de usuario raíz.

Descripción: Existían varios problemas de duración de objetos al generar nuevos procesos. Para solucionar estos problemas, se mejoró la validación.

CVE-2016-7613: Ian Beer de Google Project Zero

Entrada agregada el 1 de noviembre de 2016

libarchive

Disponible para todos los modelos de Apple Watch

Impacto: Un archivo creado con fines maliciosos podía sobrescribir archivos arbitrarios.

Descripción: Existía un problema en la lógica de validación de ruta para los vínculos simbólicos. Para solucionar este problema, se mejoró el saneamiento de la ruta.

CVE-2016-4679: Omer Medan de enSilo Ltd

libxpc

Disponible para todos los modelos de Apple Watch

Impacto: Una app podía ejecutar código arbitrario con privilegios de usuario raíz.

Descripción: Un problema de lógica se solucionó mediante restricciones adicionales.

CVE-2016-4675: Ian Beer de Google Project Zero

Perfiles de zona protegida

Disponible para todos los modelos de Apple Watch

Impacto: Una app podía recuperar metadatos de los directorios de fotos.

Descripción: Se solucionó un problema de acceso agregando restricciones adicionales de la zona protegida en las apps de proveedores independientes.

CVE-2016-4664: Razvan Deaconescu y Mihai Chiroiu (Universidad Politécnica de Bucarest), Luke Deshotels y William Enck (Universidad Estatal de Carolina del Norte), Lucas Vincenzo Davi y Ahmad-Reza Sadeghi (Universidad Técnica de Darmstadt)

Perfiles de zona protegida

Disponible para todos los modelos de Apple Watch

Impacto: Una app podía recuperar metadatos de los directorios de grabaciones de audio.

Descripción: Se solucionó un problema de acceso agregando restricciones adicionales de la zona protegida en las apps de proveedores independientes.

CVE-2016-4665: Razvan Deaconescu y Mihai Chiroiu (Universidad Politécnica de Bucarest), Luke Deshotels y William Enck (Universidad Estatal de Carolina del Norte), Lucas Vincenzo Davi y Ahmad-Reza Sadeghi (Universidad Técnica de Darmstadt)

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: