Sobre o conteúdo de segurança do watchOS 2

Este documento descreve o conteúdo de segurança do watchOS 2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.

watchOS 2

  • Apple Pay

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: alguns cartões podem permitir que um terminal recupere informações de transações recentes ao fazer um pagamento

    Descrição: a função de registro de transações foi ativada em algumas configurações. Esse problema foi resolvido removendo a função de registro de transações.

    ID de CVE

    CVE-2015-5916

  • Áudio

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: a reprodução de um arquivo de áudio malicioso pode resultar no fechamento inesperado de um aplicativo

    Descrição: havia um problema de memória corrompida no processamento de arquivos de áudio. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5862: YoungJin Yoon, do Information Security Lab. (Orientador: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreia

  • Política de confiabilidade dos certificados

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: atualização para a política de confiabilidade dos certificados

    Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/pt-br/HT204873.

  • CFNetwork

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS

    Descrição: havia um problema de validação do certificado em NSURL quando um certificado era alterado. Esse problema foi resolvido por meio de melhorias na validação do certificado.

    ID de CVE

    CVE-2015-5824: Timothy J. Wood, do The Omni Group

  • CFNetwork

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: a conexão a um proxy da web malicioso pode definir cookies maliciosos para um site

    Descrição: havia um problema no processamento de respostas de conexão de proxy. Esse problema foi resolvido removendo o cabeçalho Set-Cookie ao analisar a resposta de conexão.

    ID de CVE

    CVE-2015-5841: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário

    Descrição: havia um problema de cookie entre domínios no processamento de domínios de nível superior. O problema foi resolvido por meio de melhorias nas restrições de criação de cookies.

    ID de CVE

    CVE-2015-5885: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University

  • CFNetwork

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: alguém com acesso físico a um dispositivo iOS pode ler dados do cache de apps da Apple

    Descrição: dados do cache estavam criptografados com uma chave protegida somente por um UID de hardware. Esse problema foi resolvido por meio da criptografia dos dados do cache com uma chave protegida pelo UID de hardware e o código do usuário.

    ID de CVE

    CVE-2015-5898: Andreas Kurtz, do NESO Security Labs

  • CoreCrypto

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor pode identificar uma chave privada

    Descrição: ao observar várias tentativas de início de sessão ou decodificação, um invasor poderia definir e identificar a chave privada RSA. Esse problema foi resolvido por meio de melhorias nos algoritmos de criptografia.

  • CoreText

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: processar um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2015-5874: John Villamil (@day6reak), equipe Yahoo Pentest

  • Mecanismo Detectores de Dados

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: processar um arquivo de texto malicioso pode resultar na execução arbitrária de códigos

    Descrição: havia problemas de corrompimento de memória no processamento de arquivos de texto. Esses problemas foram solucionados através de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5829: M1x7e1, do Safeye Team (www.safeye.org)

  • Dev Tools

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de memória corrompida no dyld. Esse problema foi solucionado por meio de melhorias no gerenciamento de memória.

    ID de CVE

    CVE-2015-5876: beist, da grayhash

  • Imagens de Disco

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de memória corrompida no DiskImages. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5847 : Filippo Bigarella, Luca Todesco

  • dyld

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo pode contornar a assinatura de códigos

    Descrição: havia um problema na validação da assinatura de códigos de executáveis. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team

  • GasGauge

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel

    Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram solucionados por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-5918 : Apple

    CVE-2015-5919 : Apple

  • ICU

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: várias vulnerabilidades no ICU

    Descrição: havia diversas vulnerabilidades nas versões do ICU anteriores à 53.1.0 que foram resolvidas com a atualização do ICU para a versão 55.1.

    ID de CVE

    CVE-2014-8146 : Marc Deslauriers

    CVE-2014-8147 : Marc Deslauriers

    CVE-2015-5922 : Mark Brand do Google Project Zero

  • IOAcceleratorFamily

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo malicioso pode configurar o layout de memória do kernel

    Descrição: havia um problema que causou a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.

    ID de CVE

    CVE-2015-5834: Cererdlong, da equipe da Alibaba Mobile Security

  • IOAcceleratorFamily

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema

    Descrição: havia um problema de memória corrompida no IOAcceleratorFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5848: Filippo Bigarella

  • IOKit

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo malicioso pode executar códigos arbitrariamente usando privilégios de sistema

    Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5844: Filippo Bigarella

    CVE-2015-5845: Filippo Bigarella

    CVE-2015-5846: Filippo Bigarella

  • IOMobileFrameBuffer

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema.

    Descrição: havia um problema de memória corrompida no IOMobileFrameBuffer. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5843: Filippo Bigarella

  • IOStorageFamily

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor local pode ler a memória do kernel

    Descrição: havia um problema de inicialização da memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5863: Ilja van Sprundel, da IOActive

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5868: Cererdlong, da equipe da Alibaba Mobile Security

    CVE-2015-5896: Maxime Villard, da m00nbsd

    CVE-2015-5903: CESG

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor local pode controlar o valor de cookies na pilha

    Descrição: havia vários pontos fracos da geração de cookies na pilha do espaço do usuário. Isso foi resolvido por meio de melhorias na geração de cookies na pilha.

    ID de CVE

    CVE-2013-3951: Stefan Esser

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um processo local pode modificar outros processos sem verificações de direitos

    Descrição: havia um problema em que processos de raiz usando o API processor_set_tasks tinham permissão de recuperar as portas de tarefa de outros processos. Esse problema foi resolvido por meio de melhorias na verificação de direitos.

    ID de CVE

    CVE-2015-5882: Pedro Vilaça, trabalhando em pesquisa original de Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um invasor em um segmento de LAN local pode desativar o IPv6 do roteador

    Descrição: havia um problema de validação insuficiente no processamento de anúncios do roteador IPv6 que permitia a um invasor definir o limite de saltos para um valor arbitrário. Esse problema foi resolvido aplicando um limite mínimo de saltos.

    ID de CVE

    CVE-2015-5869: Dennis Spindel Ljungmark

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode determinar o layout de memória do kernel.

    Descrição: havia um problema no XNU que causou a divulgação da memória do kernel. Isso foi resolvido por meio de melhorias na inicialização de estruturas da memória do kernel.

    ID de CVE

    CVE-2015-5842: beist, da grayhash

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode causar uma negação de serviço do sistema

    Descrição: havia um problema na montagem do drive HFS. Isso foi resolvido por meio de verificações de validação adicionais.

    ID de CVE

    CVE-2015-5748: Maxime VILLARD, do m00nbsd

  • libpthread

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2015-5899: Lufeng Li, da Qihoo 360 Vulcan Team

  • PluginKit

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: um aplicativo empresarial malicioso pode instalar extensões antes que o aplicativo seja confiável

    Descrição: havia um problema na validação de extensões durante a instalação. Isso foi resolvido por meio de melhorias na verificação de apps.

    ID de CVE

    CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei, da FireEye, Inc.

  • removefile

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: o processamento de dados maliciosos pode levar ao encerramento inesperado de aplicativos

    Descrição: havia uma falha de estouro nas rotinas de divisão do checkint. Esse problema foi resolvido com melhorias nas rotinas de divisão.

    ID de CVE

    CVE-2015-5840: um pesquisador anônimo

  • SQLite

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: diversas vulnerabilidades no SQLite versão 3.8.5

    Descrição: havia diversas vulnerabilidades no SQLite versão 3.8.5. Esses problemas foram resolvidos com a atualização para a versão 3.8.10.2 do SQLite.

    ID de CVE

    CVE-2015-3414

    CVE-2015-3415

    CVE-2015-3416

  • tidy

    Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition

    Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no Tidy. Esse problema foi resolvido por meio de melhorias no processamento da memória.

    ID de CVE

    CVE-2015-5522 : Fernando Muñoz do NULLGroup.com

    CVE-2015-5523 : Fernando Muñoz do NULLGroup.com

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: