Acerca del contenido de seguridad de watchOS 2.0.1
En este documento se describe el contenido de seguridad de watchOS 2.0.1.
Con el fin de proteger a nuestros clientes, Apple no revelará, discutirá ni confirmará problemas de seguridad hasta que no se haya llevado a cabo una investigación exhaustiva y estén disponibles las correcciones o las versiones necesarias. Para obtener más información acerca de la seguridad de los productos de Apple, visita el sitio web Seguridad de los productos de Apple.
Para obtener información sobre la clave de seguridad PGP de los productos de Apple, consulta Cómo utilizar la clave PGP de seguridad de los productos de Apple.
Siempre que sea posible, se utilizan ID de CVE para hacer referencia a los puntos vulnerables a fin de obtener más información.
Para obtener más información acerca de otras actualizaciones de seguridad, consulta Actualizaciones de seguridad de Apple.
watchOS 2.0.1
Apple Pay
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Algunas tarjetas pueden permitir que un terminal recupere un volumen de información de transacciones recientes limitado al efectuar un pago
Descripción: La funcionalidad de registro de transacciones se había habilitado en ciertas configuraciones. Este problema se ha solucionado con la eliminación de la funcionalidad de registro de transacciones. Esta actualización también aborda el problema de los Apple Watch fabricados con watchOS 2.
ID CVE
CVE-2015-5916
BOM
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Descomprimir un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existía una vulnerabilidad de archivo indebido en la gestión de archivos CPIO. Este problema se ha solucionado mejorando la validación de los metadatos.
ID CVE
CVE-2015-7006: Mark Dowd de Azimuth Security
configd
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Una aplicación malintencionada podría ser capaz de mejorar privilegios
Descripción: Existía un problema de desbordamiento del buffer de pila en la biblioteca de clientes DNS. Un usuario local que tuviera la capacidad de suplantar respuestas desde el servicio configd local podría haber provocado la ejecución de código arbitrario en clientes DNS.
ID CVE
CVE-2015-7015: PanguTeam
CoreGraphics
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: El procesamiento de una imagen creada con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de la memoria en CoreGraphics. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
ID CVE
CVE-2015-5925: Apple
CVE-2015-5926: Apple
FontParser
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Visualizar un documento que contenga un tipo de letra creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existían varios problemas de corrupción de memoria en la gestión de los archivos de tipos de letra. Estos problemas se han solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-5927: Apple
CVE-2015-5942
Grand Central Dispatch
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: El procesamiento de un paquete creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existía un problema de corrupción de memoria en la gestión de las llamadas a Dispatch. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
ID CVE
CVE-2015-6989: Apple
ImageIO
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Ver un archivo de imagen creado con fines malintencionados podría provocar la ejecución de código arbitrario
Descripción: Existían varios problemas de corrupción de memoria en el análisis de los metadatos de las imágenes. Estos problemas se han solucionado mejorando la validación de los metadatos.
ID CVE
CVE-2015-5935: Apple
CVE-2015-5936: Apple
CVE-2015-5937: Apple
CVE-2015-5939: Apple
IOAcceleratorFamily
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Una aplicación malintencionada puede ser capaz de ejecutar código arbitrario con privilegios del sistema
Descripción: Existía un problema de corrupción de la memoria en IOAcceleratorFamily. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
ID CVE
CVE-2015-6996: Ian Beer de Google Project Zero
IOHIDFamily
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Una aplicación malintencionada podría ejecutar código arbitrario con privilegios de kernel
Descripción: Existía un problema de corrupción de la memoria en el kernel. Este problema se ha solucionado mediante la mejora de la gestión de la memoria.
ID CVE
CVE-2015-6974: Luca Todesco (@qwertyoruiop)
mDNSResponder
Disponible para: Apple Watch Sport, Apple Watch, Apple Watch Edition y Apple Watch Hermes
Impacto: Un atacante remoto podría ser capaz de provocar el cierre inesperado de una aplicación o la ejecución de código arbitrario
Descripción: Había varios problemas de corrupción de la memoria en el análisis de datos DNS. Estos problemas se han solucionado mejorando la comprobación de los límites.
ID CVE
CVE-2015-7987 : Alexandre Helie
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.