Acerca del contenido de seguridad de watchOS 5.3

En este documento, se describe el contenido de seguridad de watchOS 5.3.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

Para obtener más información sobre la seguridad, consulta la página de seguridad de los productos Apple.

watchOS 5.3

Publicado el 22 de julio de 2019

Core Data

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía producir una fuga de memoria.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2019-8646: Natalie Silvanovich de Google Project Zero

Core Data

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de uso después de liberación mejorando la administración de la memoria.

CVE-2019-8647: Samuel Groß y Natalie Silvanovich de Google Project Zero

Core Data

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2019-8660: Samuel Groß y Natalie Silvanovich de Google Project Zero

Digital Touch

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía producir una fuga de memoria.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2019-8624: Natalie Silvanovich de Google Project Zero

FaceTime

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2019-8648: Tao Huang y Tielei Wang de Team Pangu

Foundation

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2019-8641: Samuel Groß y Natalie Silvanovich de Google Project Zero

Heimdal

Disponible para Apple Watch Series 1 y posteriores

Impacto: Existía un problema en Samba que podía ocasionar que los atacantes realizaran acciones no autorizadas interceptando comunicaciones entre los servicios.

Descripción: Este problema se solucionó mejorando las comprobaciones para prevenir acciones no autorizadas.

CVE-2018-16860: Isaac Boukris y Andrew Bartlett de Samba Team y Catalyst

libxslt

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía ver información confidencial.

Descripción: Se solucionó un problema de desbordamiento de pila mejorando la validación de entradas.

CVE-2019-13118: Detectado por OSS-Fuzz

Mensajes

Disponible para Apple Watch Series 1 y posteriores

Impacto: Los usuarios eliminados de una conversación de iMessage aún podían alterar estados.

Descripción: Este problema se solucionó mejorando las comprobaciones.

CVE-2019-8659: Ryan Kontos (@ryanjkontos), Will Christensen de la Universidad de Oregón

Mensajes

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una app.

Descripción: Se solucionó un problema de denegación de servicio mejorando la validación.

CVE-2019-8665: Michael Hernandez de XYZ Marketing

Vista rápida

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante podía activar una vulnerabilidad de use-after-free en una app deserializando un NSDictionary que no era de confianza.

Descripción: Este problema se solucionó mejorando las comprobaciones.

CVE-2019-8662: Natalie Silvanovich y Samuel Groß de Google Project Zero

Siri

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un atacante remoto podía producir una fuga de memoria.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2019-8646: Natalie Silvanovich de Google Project Zero

UIFoundation

Disponible para Apple Watch Series 1 y posteriores

Impacto: El análisis de un documento de Office creado con fines malintencionados podía ocasionar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionó un problema de lectura fuera de los límites mejorando la validación de entradas.

CVE-2019-8657: riusksk de VulWar Corp en colaboración con la iniciativa Zero Day de Trend Micro

Wallet

Disponible para Apple Watch Series 1 y posteriores

Impacto: Un usuario podía completar inadvertidamente una compra dentro de la aplicación con la pantalla bloqueada.

Descripción: Este problema se solucionó mejorando el manejo de IU.

CVE-2019-8682: Jeff Braswell (JeffBraswell.com)

WebKit

Disponible para Apple Watch Series 1 y posteriores

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar un ataque de scripts de sitios universal.

Descripción: Se solucionó un problema de lógica mejorando la administración de estados.

CVE-2019-8658: akayn en colaboración con la iniciativa Zero Day de Trend Micro

WebKit

Disponible para Apple Watch Series 1 y posteriores

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daños en la memoria mejorando el manejo de la memoria.

CVE-2019-8669: akayn en colaboración con la iniciativa Zero Day de Trend Micro

CVE-2019-8672: Samuel Groß de Google Project Zero

CVE-2019-8676: Soyeon Park y Wen Xu de SSLab en Georgia Tech

CVE-2019-8683: lokihardt de Google Project Zero

CVE-2019-8684: lokihardt de Google Project Zero

CVE-2019-8685: akayn, Dongzhuo Zhao en colaboración con ADLab de Venustech, Ken Wong (@wwkenwong) de VXRL, Anthony Lai (@darkfloyd1014) de VXRL, y Eric Lung (@Khlung1) de VXRL

CVE-2019-8688: Insu Yun de SSLab en Georgia Tech

CVE-2019-8689: lokihardt de Google Project Zero

Otros agradecimientos

MobileInstallation

Nos gustaría darle las gracias a Dany Lisiansky (@DanyL931) por su ayuda.

 

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados o probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o productos de otros fabricantes. Apple no ofrece ninguna representación con relación a la precisión o fiabilidad de los sitios web de terceros. El uso de Internet conlleva riesgos inherentes. Comunícate con el proveedor para obtener información adicional. Otros nombres de compañías y productos mencionados pueden ser marcas registradas de sus respectivos propietarios.

Fecha de publicación: