Sobre o conteúdo de segurança do watchOS 2.1

Este documento descreve o conteúdo de segurança do watchOS 2.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do Produto Apple, consulte o site sobre segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte o artigo Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte o artigo Atualizações de segurança da Apple.

watchOS 2.1

AppSandbox
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso pode manter o acesso aos Contatos depois de ter o acesso revogado
Descrição: havia um problema no processamento de links físicos na área restrita. Esse problema foi resolvido por meio de melhorias na proteção da área restrita do app.
ID de CVE
CVE-2015-7001: Razvan Deaconescu e Mihai Bucicoiu da University POLITEHNICA of Bucharest; Luke Deshotels e William Enck da North Carolina State University; Lucas Vincenzo Davi e Ahmad-Reza Sadeghi da TU Darmstadt

Compressão
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de acesso à memória não inicializada no zlib. Esse problema foi resolvido por meio de melhorias na inicialização da memória e na validação adicional de fluxos de zlib.
ID de CVE
CVE-2015-7054: j00ru

CoreGraphics
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na validação de entrada.
ID de CVE
CVE-2015-7105: John Villamil (@day6reak), Yahoo Pentest Team

CoreMedia Playback
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos de mídia inválidos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7075

dyld
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de validação de segmentos no dyld. Esse problema foi resolvido por meio de melhorias na limpeza do ambiente.
ID de CVE
CVE-2015-7072: Apple

FontParser
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: o processamento de um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-6978: Jaanus Kp da Clarified Security em parceria com a Zero Day Initiative da HP

GasGauge
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-6979: PanguTeam

ImageIO
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: o processamento de uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no ImageIO. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7053: Apple

IOHIDFamily
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia vários problemas de corrupção de memória no IOHIDFamily. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7111: beist e ABH da BoB
CVE-2015-7112: Ian Beer do Google Project Zero

IOKit SCSI
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia um problema de cancelamento de referência de ponteiro nulo no processamento de determinados tipos de userclient. Esse problema foi resolvido por meio de melhorias na validação.
ID de CVE
CVE-2015-7068: Ian Beer do Google Project Zero

Kernel
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo local pode causar uma negação de serviço
Descrição: vários problemas de negação de serviço foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7040: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2015-7041: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2015-7042: Lufeng Li da Qihoo 360 Vulcan Team
CVE-2015-7043: Tarjei Mandt (@kernelpool)

Kernel
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia um problema na análise de mensagens mach. Esse problema foi resolvido por meio de melhorias na validação de mensagens mach.
ID de CVE
CVE-2015-7047: Ian Beer do Google Project Zero

Kernel
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um usuário local pode causar a execução arbitrária de códigos com privilégios de kernel
Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7083: Ian Beer do Google Project Zero
CVE-2015-7084: Ian Beer do Google Project Zero

LaunchServices
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de corrupção de memória no processamento de plists inválidas. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7113: Olivier Goguel da Free Tools Association

libarchive
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de arquivos. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2011-2895: @practicalswift

libc
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: o processamento de um pacote criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários estouros de buffer na biblioteca padrão C. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-7038: Brian D. Wells de E. W. Scripps; Narayan Subramanian da Symantec Corporation/Veritas LLC
CVE-2015-7039: Maksymilian Arciemowicz (CXSECURITY.COM)
Entrada atualizada em 3 de março de 2017
mDNSResponder
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo local pode causar uma negação de serviço
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias do gerenciamento da memória.
ID de CVE
CVE-2015-7988: Alexandre Helie

OpenGL
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no OpenGL. Esses problemas foram resolvidos por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7064: Apple
CVE-2015-7066: Tongbo Luo e Bo Qu da Palo Alto Networks

Área restrita
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um aplicativo com código malicioso com privilégios raiz pode ignorar o ASLR (Address Space Layout Randomization) de kernel
Descrição: havia um problema de separação insuficiente de privilégio no xnu. Esse problema foi resolvido por meio de melhorias nas verificações de autorização.
ID de CVE
CVE-2015-7046: Apple

Segurança
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: um invasor remoto pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de handshake de SSL. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-7073: Benoit Foucher da ZeroC, Inc.

Segurança
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no decodificador ASN.1. Esses problemas foram resolvidos por meio de melhorias na validação de entrada
ID de CVE
CVE-2015-7059: David Keeler da Mozilla
CVE-2015-7060: Tyson Smith da Mozilla
CVE-2015-7061: Ryan Sleevi da Google

Segurança
Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès
Impacto: uma avaliação de confiança configurada para exigir a verificação da revogação pode obter sucesso mesmo em caso de falha na verificação da revogação
Descrição: a sinalização kSecRevocationRequirePositiveResponse era especificada, mas não implementada. Esse problema foi resolvido ao implementar a sinalização.
ID de CVE
CVE-2015-6997: Apple

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: 03 de novembro de 2023