Sobre o conteúdo de segurança do Watch OS 1.0.1

Este documento descreve o conteúdo de segurança do Watch OS 1.0.1.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

Watch OS 1.0.1

  • Política de confiabilidade dos certificados

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: atualização para a política de confiabilidade dos certificados

    Descrição: a política de confiabilidade dos certificados foi atualizada. A lista completa de certificados pode ser visualizada em https://support.apple.com/pt-br/HT204873

  • FontParser

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: processar um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-1093: Marc Schoenefeld

  • Foundation

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo usando o NSXMLParser pode ser usado incorretamente para divulgar informações

    Descrição: havia um problema na Entidade Externa XML no processamento de NSXMLParser do XML. Este problema foi resolvido ao não carregar entidades externas nas origens.

    ID de CVE

    CVE-2015-1092 : Ikuya Fukumoto

  • IOHIDFamily

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

    Descrição: havia um problema no IOHIDFamily que causou a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-1096 : Ilja van Sprundel da IOActive

  • IOAcceleratorFamily

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo malicioso pode determinar o layout de memória do kernel

    Descrição: havia um problema no IOAcceleratorFamily que causou a divulgação do conteúdo da memória do kernel. Esse problema foi resolvido por meio da remoção de códigos desnecessários.

    ID de CVE

    CVE-2015-1094 : Cererdlong da Alibaba Mobile Security Team

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo mal-intencionado pode causar a negação de serviço do sistema

    Descrição: havia uma condição de corrida na chamada de sistema setreuid do kernel. Esse problema foi resolvido através do gerenciamento aprimorado de estado.

    ID de CVE

    CVE-2015-1099 : Mark Mentovai do Google Inc.

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor com posição de rede privilegiada pode redirecionar o tráfego de usuários para hosts arbitrários

    Descrição: os redirecionamentos de ICMP eram habilitados por padrão. Esse problema foi resolvido com a desativação de redirecionamentos de ICMP.

    ID de CVE

    CVE-2015-1103 : Zimperium Mobile Security Labs

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor remoto pode causar a negação de um serviço

    Descrição: havia um problema de inconsistência de estado ao gerenciar TCP fora da faixa de dados. Esse problema foi resolvido por meio da melhoria do gerenciamento de estado.

    ID de CVE

    CVE-2015-1105 : Kenton Varda da Sandstorm.io

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo mal-intencionado pode escalonar privilégios usando um serviço comprometido que havia sido planejado para ser executado com privilégios reduzidos

    Descrição: as chamadas de sistema setreuid e setregid falharam em remover os privilégios permanentemente. Esse problema foi resolvido ao remover os privilégios corretamente.

    ID de CVE

    CVE-2015-1117 : Mark Mentovai do Google Inc.

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor remoto pode driblar filtros de rede

    Descrição: o sistema tratava alguns pacotes IPv6 de interfaces de rede remota como pacotes locais. O problema foi resolvido ao rejeitar esses pacotes.

    ID de CVE

    CVE-2015-1104 : Stephen Roettger da Equipe de Segurança do Google

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor com posição de rede privilegiada pode causar uma negação de serviço

    Descrição: havia uma inconsistência de estado no processamento dos cabeçalhos TCP. Esse problema foi resolvido por meio da melhoria do processamento de estado.

    ID de CVE

    CVE-2015-1102 : Andrey Khudyakov e Maxim Zhuravlev do Kaspersky Lab

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo mal-intencionado pode causar o encerramento inesperado do sistema ou ler a memória do kernel

    Descrição: havia um problema de acesso à memória fora do limite no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-1100 : Maxime Villard do m00nbsd

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-1101 : lokihardt@ASRT em parceria com a Zero Day Initiative da HP

  • Transporte seguro

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS

    Descrição: o transporte seguro aceitou chaves RSA efêmeras curtas, em geral usadas somente para exportação de conjuntos de codificação de RSA fortes em conexões usando toda a força dos conjuntos de codificação RSA. Esse problema, também conhecido como FREAK, afetava apenas conexões de servidores compatíveis com a exportação de conjuntos de codificação de segurança RSA fortes e foi corrigido por meio da remoção do suporte para chaves RSA efêmeras.

    ID de CVE

    CVE-2015-1067 : Benjamin Beurdouche, Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Alfredo Pironti e Jean Karim Zinzindohoue da Prosecco em Inria, Paris

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: