Sobre o conteúdo de segurança do watchOS 3.1
Este documento descreve o conteúdo de segurança do watchOS 3.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de Segurança da Apple.
Para obter mais informações sobre segurança, consulte a página Segurança do Produto Apple. É possível criptografar comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
watchOS 3.1
AppleMobileFileIntegrity
Disponível para: todos os modelos de Apple Watch
Impacto: um executável assinado poderia substituir código com o mesmo ID de Equipe
Descrição: havia um problema de validação no processamento de assinaturas de códigos. Esse problema foi resolvido por meio de validações adicionais.
CVE-2016-7584: Mark Mentovai e Boris Vidolov da Google Inc.
CoreGraphics
Disponível para: todos os modelos de Apple Watch
Impacto: visualizar um arquivo JPEG malicioso pode resultar na execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento de memória.
CVE-2016-4673: Marco Grassi (@marcograss) do KeenLab (@keen_lab), Tencent
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: a análise de uma fonte maliciosa pode divulgar informações confidenciais
Descrição: um problema de leitura fora dos limites foi solucionado por meio de melhorias na verificação de limites.
CVE-2016-4660: Ke Liu do Xuanwu Lab da Tencent
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi solucionado por meio de melhorias na verificação de limites.
CVE-2016-4688: Simon Huang da empresa Alipay, thelongestusernameofall@gmail.com
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: havia vários problemas de validação de entrada nos códigos gerados por MIG. Esses problemas foram solucionados por meio de melhorias na validação.
CVE-2016-4669: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode divulgar a memória do kernel
Descrição: um problema de validação foi corrigido por meio da limpeza de entradas.
CVE-2016-4680: Max Bazaliy da Lookout e in7egral
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo local pode causar a execução arbitrária de códigos usando privilégios de raiz
Descrição: havia diversos problemas de tempo de vida do objeto ao gerar novos processos. Eles foram resolvidos por meio de melhorias na validação.
CVE-2016-7613: Ian Beer do Google Project Zero
libarchive
Disponível para: todos os modelos de Apple Watch
Impacto: um arquivo malicioso pode sobrescrever arquivos arbitrários
Descrição: havia um problema na lógica de validação de caminho para links simbólicos. Esse problema foi solucionado por meio de melhorias na limpeza do caminho.
CVE-2016-4679: Omer Medan do enSilo Ltd
libxpc
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de raiz
Descrição: um problema de lógica foi solucionado por meio de restrições adicionais.
CVE-2016-4675: Ian Beer do Google Project Zero
Perfis de área restrita
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode recuperar metadados de diretórios de fotos
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais para área restrita em aplicativos de terceiros.
CVE-2016-4664: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
Perfis de área restrita
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode recuperar metadados de diretórios de gravações de áudio
Descrição: um problema de acesso foi resolvido por meio de restrições adicionais para área restrita em aplicativos de terceiros.
CVE-2016-4665: Razvan Deaconescu, Mihai Chiroiu (University POLITEHNICA of Bucharest); Luke Deshotels, William Enck (North Carolina State University); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (TU Darmstadt)
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.