Acerca del contenido de seguridad de watchOS 2.1

En este documento, se describe el contenido de seguridad de watchOS 2.1.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o versiones necesarias. Para obtener más información sobre la seguridad de los productos Apple, consulta el sitio web Seguridad de los productos Apple.

Para obtener más información sobre la clave PGP de seguridad de los productos Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.

A fin de proporcionar más información, siempre que sea posible, se usan identificadores CVE para hacer referencia a las vulnerabilidades.

Para obtener información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.

watchOS 2.1

  • AppSandbox

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación malintencionada podía mantener acceso a Contactos después de la revocación del acceso.

    Descripción: Existía un problema en el manejo de vínculos físicos por parte de la zona protegida. Para solucionar este problema, se mejoró la protección de la zona protegida de la aplicación.

    ID CVE

    CVE-2015-7001: Razvan Deaconescu y Mihai Bucicoiu de la Universidad Politécnica de Bucarest; Luke Deshotels y William Enck de la Universidad Estatal de Carolina del Norte; Lucas Vincenzo Davi y Ahmad-Reza Sadeghi de TU Darmstadt

  • Compresión

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de acceso a la memoria sin inicializar en zlib. Para solucionar este problema, se mejoró la inicialización de la memoria y se proporcionó validación adicional de secuencias zlib.

    ID CVE

    CVE-2015-7054: j00ru

  • CoreGraphics

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos de fuente. Este problema se solucionó mejorando la validación de entradas.

    ID CVE

    CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

  • CoreMedia Playback

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de daños en la memoria en el procesamiento de archivos multimedia mal formados. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7075

  • dyld

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de validación de segmentos en dyld. Para solucionar esto, se mejoró el saneamiento del entorno.

    ID CVE

    CVE-2015-7072: Apple

  • FontParser

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: El procesamiento de un archivo de tipo de letra creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el procesamiento de tipos de letra. Estos problemas se solucionaron mejorando la comprobación de límites.

    ID CVE

    CVE-2015-6978: Jaanus Kp, Clarified Security, en colaboración con la iniciativa Zero Day de HP.

  • GasGauge

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de daños en la memoria del kernel. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-6979: PanguTeam

  • ImageIO

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: El procesamiento de una imagen creada con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existía un problema de corrupción de la memoria en ImageIO. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7053: Apple

  • IOHIDFamily

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existían varios problemas de daños en la memoria en IOHIDFamily. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7111: beist y ABH de BoB

    CVE-2015-7112: Ian Beer de Google Project Zero

  • IOKit SCSI

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación maliciosa podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía una falta de referencia de puntero nulo en el manejo de cierto tipo de userclient. Este problema se solucionó mejorando la validación.

    ID CVE

    CVE-2015-7068: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: Para solucionar estos múltiples problemas de denegación del servicio, se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7040: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7041: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7042: Lufeng Li de Qihoo 360 Vulcan Team

    CVE-2015-7043: Tarjei Mandt (@kernelpool)

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existía un problema en el análisis de mensajes Mach. Este problema se solucionó mediante la mejora de la validación de mensajes Mach.

    ID CVE

    CVE-2015-7047: Ian Beer de Google Project Zero

  • Kernel

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

    Descripción: Existían varios problemas de errores de memoria en el kernel. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7083: Ian Beer de Google Project Zero

    CVE-2015-7084: Ian Beer de Google Project Zero

  • LaunchServices

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

    Descripción: Existía un problema de errores de memoria en la administración de plists mal formados. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7113: Olivier Goguel de Free Tools Association

  • libarchive

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en la administración de archivos. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2011-2895: @practicalswift

  • libc

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Procesar un paquete creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían múltiples desbordamientos de búfer en la biblioteca estándar C. Estos problemas se solucionaron mejorando la comprobación de límites.

    ID CVE

    CVE-2015-7038: Brian D. Wells de E. W. Scripps, Narayan Subramanian of Symantec Corporation/Veritas LLC

    CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)

    Entrada actualizada el 3 de marzo de 2017

  • mDNSResponder

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación local podía provocar una denegación de servicio.

    Descripción: La falta de referencia de puntero nulo se solucionó mejorando el manejo de la memoria.

    ID CVE

    CVE-2015-7988: Alexandre Helie

  • OpenGL

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Visitar un sitio web creado con fines malintencionados podía provocar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en OpenGL. Estos problemas se solucionaron mejorando la administración de la memoria.

    ID CVE

    CVE-2015-7064: Apple

    CVE-2015-7066: Tongbo Luo y Bo Qu de Palo Alto Networks

  • Sandbox

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una aplicación malintencionada con privilegios de raíz podía desviar la distribución aleatoria del espacio de direcciones de kernel.

    Descripción: Existía un problema de separación de privilegios insuficiente en xnu. Este problema se resolvió al mejorar la comprobación de autorizaciones.

    ID CVE

    CVE-2015-7046: Apple

  • Seguridad

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Un atacante remoto podía ocasionar el cierre inesperado de una aplicación o la ejecución de código arbitrario.

    Descripción: Existía un problema de errores de memoria en el manejo de protocolos de enlace SSL. Para solucionar este problema se mejoró el manejo de la memoria.

    ID CVE

    CVE-2015-7073: Benoit Foucher de ZeroC, Inc.

  • Seguridad

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Procesar un certificado creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

    Descripción: Existían varios problemas de daños en la memoria en el decodificador ASN.1. Estos problemas se solucionaron mejorando la validación de entradas.

    ID CVE

    CVE-2015-7059: David Keeler de Mozilla

    CVE-2015-7060: Tyson Smith de Mozilla

    CVE-2015-7061: Ryan Sleevi de Google

  • Seguridad

    Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermès.

    Impacto: Una evaluación de confianza configurada para requerir la comprobación de revocación podía ser satisfactoria aunque fallara la comprobación de la verificación.

    Descripción: La marca kSecRevocationRequirePositiveResponse estaba establecida, pero no se implementaba. Este problema se solucionó implementando la marca.

    ID CVE

    CVE-2015-6997: Apple

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: