Acerca del contenido de seguridad de watchOS 3

En este documento, se describe el contenido de seguridad de watchOS 3.

Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las correcciones o versiones correspondientes. Las versiones más recientes se pueden encontrar en la página Actualizaciones de seguridad de Apple.

Para obtener más información sobre seguridad, consulta la página de seguridad de los productos Apple. Puedes encriptar las comunicaciones con Apple mediante la clave PGP de seguridad de los productos Apple.

Para hacer referencia a las vulnerabilidades en los documentos de seguridad de Apple, se usan ID CVE siempre que sea posible.

watchOS 3

Fecha de lanzamiento: 13 de septiembre de 2016

Audio

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante remoto podía ejecutar código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park y Taekyoung Kwon del Laboratorio de Seguridad Informática de la Universidad Yonsei

Entrada agregada el 20 de septiembre de 2016

CFNetwork

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía poner en peligro la información de un usuario.

Descripción: Existía un problema de validación de entradas en el análisis del encabezado Set-Cookie. Este problema se solucionó mejorando la comprobación de validación.

CVE-2016-4708: Dawid Czagan de Silesia Security Lab

Entrada agregada el 20 de septiembre de 2016

CoreCrypto

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario.

Descripción: Se solucionó un problema de escritura fuera de los límites eliminando el código vulnerable.

CVE-2016-4712: Gergo Koteles

Entrada agregada el 20 de septiembre de 2016

FontParser

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de un tipo de letra creado con fines malintencionados podía ocasionar la divulgación de la memoria de un proceso.

Descripción: Existía un desbordamiento del búfer en el manejo de los archivos de tipos de letra. Este problema se solucionó mejorando la comprobación de los límites.

CVE-2016-4718: Apple

Entrada agregada el 20 de septiembre de 2016

Geolocalización

Disponible para todos los modelos de Apple Watch

Impacto: Una app podía obtener acceso a información confidencial de ubicación.

Descripción: Existía un problema de permisos en PlaceData. Para solucionar este problema, se mejoró la validación de los permisos.

CVE-2016-4719: Razvan Deaconescu y Mihai Chiroiu (Universidad Politécnica de Bucarest), Luke Deshotels y William Enck (Universidad Estatal de Carolina del Norte), Lucas Vincenzo Davi y Ahmad-Reza Sadeghi (Universidad Técnica de Darmstadt)

IOAcceleratorFamily

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía provocar la divulgación de la memoria de un proceso.

Descripción: Se solucionó un problema de daños en la memoria mejorando la validación de entradas.

CVE-2016-4725: Rodger Combs de Plex, Inc.

Entrada agregada el 20 de septiembre de 2016

IOAcceleratorFamily

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4726: Un investigador anónimo

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Un atacante remoto podía ocasionar una denegación de servicio.

Descripción: Se solucionó un problema de manejo de bloqueos mejorando el manejo de bloqueos.

CVE-2016-4772: Marc Heuse de mh-sec

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una app podría determinar la distribución de la memoria del kernel.

Descripción: Existían varios problemas de lectura fuera de los límites que ocasionaron la divulgación de contenido de la memoria del kernel. Para solucionar estos problemas, se mejoró la validación de entradas.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Un usuario local podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4775: Brandon Azad

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Existía un problema de falta de referencia de puntero que no era de confianza. Se solucionó eliminando el código afectado.

CVE-2016-4777: Lufeng Li de Qihoo 360 Vulcan Team

Entrada agregada el 20 de septiembre de 2016

Kernel

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación podía ejecutar código arbitrario con privilegios del kernel.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2016-4778: CESG

Entrada agregada el 20 de septiembre de 2016

libxml2

Disponible para todos los modelos de Apple Watch

Descripción: Existían varios problemas en libxml2. El más grave de esos problemas podía provocar el cierre inesperado de una app o la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Entrada agregada el 20 de septiembre de 2016

libxslt

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionó un problema de daños en la memoria mejorando el manejo de la memoria.

CVE-2016-4738: Nick Wellnhofer

Entrada agregada el 20 de septiembre de 2016

Seguridad

Disponible para todos los modelos de Apple Watch

Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios del sistema.

Descripción: Existía un problema de validación en imágenes de discos firmadas. Para solucionar este problema, se mejoró la validación del tamaño.

CVE-2016-4753: Mark Mentovai de Google Inc.

Entrada agregada el 20 de septiembre de 2016

WebKit

Disponible para todos los modelos de Apple Watch

Impacto: El procesamiento de contenido web creado con fines malintencionados podía ocasionar la ejecución de código arbitrario.

Descripción: Se solucionaron varios problemas de daño en la memoria mejorando el manejo de la memoria.

CVE-2016-4737: Apple

Entrada agregada el 20 de septiembre de 2016

Administrador de Wi-Fi

Disponible para todos los modelos de Apple Watch

Impacto: Las extensiones para apps podían tener acceso a Internet.

Descripción: Múltiples problemas con la política de aplicación para compartir Wi-Fi. Para solucionar estos problemas, se mejoró la comprobación de autorizaciones.

CVE-2016-7699: Proteas de Qihoo 360 Nirvan Team

Entrada agregada el 17 de mayo de 2017

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: