Sobre o conteúdo de segurança do watchOS 2

Este documento descreve o conteúdo de segurança do watchOS 2.

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e as correções ou versões necessárias estejam disponíveis. Para saber mais sobre a segurança dos produtos Apple, acesse o site Segurança dos produtos Apple.

Para informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário tenha mais informações.

Consulte o artigo Atualizações de segurança da Apple para saber mais sobre outras Atualizações de Segurança.

watchOS 2

Apple Pay
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: alguns cartões podiam permitir que um terminal recuperasse informações de transações recentes ao fazer um pagamento
Descrição: a função de registro de transações estava ativada em algumas configurações. Esse problema foi resolvido por meio da remoção da função de registro de transações.
CVE-ID
CVE-2015-5916

Audio
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: a reprodução de um arquivo de áudio com códigos maliciosos pode resultar no fechamento inesperado de um aplicativo
Descrição: havia um problema de memória corrompida no processamento de arquivos de áudio. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-ID
CVE-2015-5862: YoungJin Yoon, do Information Security Lab. (Orientador: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreia

Certificate Trust Policy
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: atualização da política de confiança dos certificados
Descrição: a política de confiança dos certificados foi atualizada. Veja a lista completa de certificados no artigo https://support.apple.com/HT204873.

CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor com posição de rede privilegiada pode interceptar as conexões SSL/TLS
Descrição: havia um problema de validação do certificado em NSURL quando um certificado era alterado. Esse problema foi resolvido por meio de melhorias na validação do certificado.
CVE-ID
CVE-2015-5824: Timothy J. Wood, do The Omni Group

CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: a conexão a um proxy da web criado com códigos maliciosos pode definir cookies maliciosos para um site
Descrição: havia um problema no processamento de respostas de conexão de proxy. Esse problema foi resolvido por meio da remoção do cabeçalho Set-Cookie ao analisar a resposta de conexão.
CVE-ID
CVE-2015-5841: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor em posição de rede privilegiada pode rastrear a atividade de um usuário
Descrição: havia um problema de cookie de domínio cruzado no processamento de domínios de nível superior. Esse problema foi resolvido por meio de melhorias nas restrições de criação de cookies.
CVE-ID
CVE-2015-5885: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: alguém com acesso físico a um dispositivo iOS pode ler dados do cache de apps da Apple
Descrição: dados do cache estavam criptografados com uma chave protegida somente por um UID de hardware. Esse problema foi resolvido por meio da criptografia dos dados do cache com uma chave protegida pelo UID de hardware e pelo código de acesso do usuário.
CVE-ID
CVE-2015-5898: Andreas Kurtz, do NESO Security Labs

CoreCrypto
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor pode conseguir identificar uma chave privada
Descrição: ao observar várias tentativas de início de sessão ou de decodificação, um invasor podia conseguir definir e identificar a chave privada RSA. Esse problema foi resolvido por meio de melhorias nos algoritmos de criptografia.

CoreText
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-ID
CVE-2015-5874: John Villamil (@day6reak), Yahoo Pentest Team

Data Detectors Engine
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: processar um arquivo de texto criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: havia problemas de corrupção de memória no processamento de arquivos de texto. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
CVE-ID
CVE-2015-5829: M1x7e1, do Safeye Team (www.safeye.org)

Dev Tools
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo criado com códigos maliciosos pode conseguir causar a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de corrupção de memória no dyld. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-ID
CVE-2015-5876: beist of grayhash

Disk Images
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir causar a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de corrupção de memória no DiskImages. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5847: Filippo Bigarella, Luca Todesco

dyld
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo pode conseguir ignorar a assinatura de códigos
Descrição: havia um problema na validação da assinatura de códigos de executáveis. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

GasGauge
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir executar códigos arbitrários com privilégios do kernel
Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram resolvidos por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5918: Apple
CVE-2015-5919: Apple

ICU
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: várias vulnerabilidades no ICU
Descrição: havia diversas vulnerabilidades nas versões do ICU anteriores à 53.1.0. Esses problemas foram resolvidos por meio da atualização do ICU para a versão 55.1.
CVE-ID
CVE-2014-8146: Marc Deslauriers
CVE-2014-8147: Marc Deslauriers
CVE-2015-5922: Mark Brand, do Google Project Zero

IOAcceleratorFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo criado com códigos maliciosos pode conseguir determinar o layout de memória do kernel
Descrição: havia um problema que causava a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-ID
CVE-2015-5834: Cererdlong, da Alibaba Mobile Security Team

IOAcceleratorFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir causar a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de memória corrompida no IOAcceleratorFamily. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5848: Filippo Bigarella

IOKit
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo criado com códigos maliciosos pode conseguir causar a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella

IOMobileFrameBuffer
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir causar a execução arbitrária de códigos com privilégios de sistema
Descrição: havia um problema de corrupção de memória no IOMobileFrameBuffer. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5843: Filippo Bigarella

IOStorageFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor local pode conseguir ler a memória do kernel
Descrição: havia um problema de inicialização da memória no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5863: Ilja van Sprundel, da IOActive

Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5868: Cererdlong, da Alibaba Mobile Security Team
CVE-2015-5896: Maxime Villard, da m00nbsd
CVE-2015-5903: CESG

Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor local pode controlar o valor de cookies na pilha
Descrição: havia vários pontos fracos da geração de cookies na pilha do espaço do usuário. Esse problema foi resolvido por meio de melhorias na geração de cookies na pilha.
CVE-ID
CVE-2013-3951: Stefan Esser

Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um processo local pode modificar outros processos sem verificações de direitos
Descrição: havia um problema em que processos principais usando o API processor_set_tasks tinham permissão de recuperar as portas de tarefa de outros processos. Esse problema foi resolvido por meio de melhorias na verificação de direitos.
CVE-ID
CVE-2015-5882: Pedro Vilaça, trabalhando em pesquisa original de Ming-chieh Pan e Sung-ting Tsai; Jonathan Levi

Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor em um segmento de LAN local pode desativar o roteamento IPv6
Descrição: havia um problema de validação insuficiente no processamento de anúncios do roteador IPv6 que permitia que um invasor definisse o limite de saltos para um valor arbitrário. Esse problema foi resolvido por meio da aplicação de um limite mínimo de saltos.
CVE-ID
CVE-2015-5869: Dennis Spindel Ljungmark

Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir definir o layout de memória do kernel
Descrição: havia um problema no XNU que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na inicialização de estruturas da memória do kernel.
CVE-ID
CVE-2015-5842: beist of grayhash

Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir causar uma recusa de serviço do sistema
Descrição: havia um problema na instalação do drive HFS. Esse problema foi resolvido por meio de verificações de validação adicionais.
CVE-ID
CVE-2015-5748: Maxime Villard, da m00nbsd

libpthread
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir executar códigos arbitrários com privilégios de kernell
Descrição: havia um problema de memória corrompida no kernel. Esse problema foi resolvido por meio de melhorias no processamento da memória.
CVE-ID
CVE-2015-5899: Lufeng Li, da Qihoo 360 Vulcan Team

PluginKit
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo empresarial criado com códigos maliciosos pode instalar extensões antes que o aplicativo seja confiável
Descrição: havia um problema na validação de extensões durante a instalação. Esse problema foi resolvido por meio de melhorias na verificação de apps.
CVE-ID
CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei, da FireEye, Inc.

removefile
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: o processamento de dados maliciosos pode levar ao encerramento inesperado de aplicativos
Descrição: havia uma falha de excesso nas rotinas de divisão do checkint. Esse problema foi resolvido por meio de melhorias nas rotinas de divisão.
CVE-ID
CVE-2015-5840: pesquisador anônimo

SQLite
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: diversas vulnerabilidades no SQLite versão 3.8.5
Descrição: havia diversas vulnerabilidades no SQLite versão 3.8.5. Esses problemas foram resolvidos por meio da atualização para a versão 3.8.10.2 do SQLite.
CVE-ID
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416

tidy
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: acessar um site criado com códigos maliciosos pode levar à execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no Tidy. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-ID
CVE-2015-5522: Fernando Muñoz do NULLGroup.com
CVE-2015-5523: Fernando Muñoz do NULLGroup.com

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 06 de dezembro de 2023