Sobre o conteúdo de segurança do Watch OS 1.0.1
Este documento descreve o conteúdo de segurança do Watch OS 1.0.1.
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.
Watch OS 1.0.1
Política de confiabilidade dos certificados
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. A lista completa de certificados pode ser visualizada em https://support.apple.com/pt-br/HT204873
FontParser
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1093: Marc Schoenefeld
Foundation
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo usando o NSXMLParser pode ser usado incorretamente para divulgar informações
Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. Este problema foi resolvido ao não carregar entidades externas nas origens.
ID de CVE
CVE-2015-1092 : Ikuya Fukumoto
IOHIDFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no IOHIDFamily que causou a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-1096 : Ilja van Sprundel da IOActive
IOAcceleratorFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel
Descrição: havia um problema no IOAcceleratorFamily que causou a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido por meio da remoção de códigos desnecessários.
ID de CVE
CVE-2015-1094 : Cererdlong da Alibaba Mobile Security Team
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo mal-intencionado pode causar a negação de serviço do sistema
Descrição: havia uma condição de corrida na chamada de sistema setreuid do kernel. Esse problema foi resolvido através do gerenciamento aprimorado de estado.
ID de CVE
CVE-2015-1099 : Mark Mentovai do Google Inc.
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor com posição de rede privilegiada pode redirecionar o tráfego de usuários para hosts arbitrários
Descrição: os redirecionamentos de ICMP eram habilitados por padrão. Esse problema foi resolvido com a desativação de redirecionamentos de ICMP.
ID de CVE
CVE-2015-1103 : Zimperium Mobile Security Labs
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor remoto pode causar a negação de um serviço
Descrição: havia um problema de inconsistência de estado ao gerenciar TCP fora da faixa de dados. Esse problema foi resolvido por meio da melhoria do gerenciamento de estado.
ID de CVE
CVE-2015-1105 : Kenton Varda da Sandstorm.io
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo mal-intencionado pode escalonar privilégios usando um serviço comprometido que havia sido planejado para ser executado com privilégios reduzidos
Descrição: as chamadas de sistema setreuid e setregid falharam em remover os privilégios permanentemente. Esse problema foi resolvido ao remover os privilégios corretamente.
ID de CVE
CVE-2015-1117 : Mark Mentovai do Google Inc.
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor remoto pode driblar filtros de rede
Descrição: o sistema tratava alguns pacotes IPv6 de interfaces de rede remota como pacotes locais. O problema foi resolvido ao rejeitar esses pacotes.
ID de CVE
CVE-2015-1104 : Stephen Roettger da Equipe de Segurança do Google
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor com posição de rede privilegiada pode causar uma negação de serviço
Descrição: havia uma inconsistência de estado no processamento dos cabeçalhos TCP. Esse problema foi resolvido por meio da melhoria do processamento de estado.
ID de CVE
CVE-2015-1102 : Andrey Khudyakov e Maxim Zhuravlev do Kaspersky Lab
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo mal-intencionado pode causar o encerramento inesperado do sistema ou ler a memória do kernel
Descrição: havia um problema de acesso à memória fora do limite no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1100 : Maxime Villard do m00nbsd
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-1101 : lokihardt@ASRT em parceria com a Zero Day Initiative da HP
Transporte seguro
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS
Descrição: o transporte seguro aceitou chaves RSA efêmeras curtas, em geral usadas somente para exportação de conjuntos de codificação de RSA fortes em conexões usando toda a força dos conjuntos de codificação RSA. Esse problema, também conhecido como FREAK, afetava apenas conexões de servidores compatíveis com a exportação de conjuntos de codificação de segurança RSA fortes e foi corrigido por meio da remoção do suporte para chaves RSA efêmeras.
ID de CVE
CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da Prosecco em Inria, Paris
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.