Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre a Segurança do produto Apple, consulte o site Segurança do produto Apple.
Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a chave PGP de Segurança do Produto Apple.
Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.
Para saber mais sobre outras Atualizações de segurança, consulte Atualizações de segurança da Apple.
watchOS 2
Apple Pay
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: alguns cartões podem permitir que um terminal recupere informações de transações recentes ao fazer um pagamento
Descrição: a função de registro de transações foi ativada em algumas configurações. Esse problema foi resolvido removendo a função de registro de transações.
ID de CVE
CVE-2015-5916
Áudio
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: a reprodução de um arquivo de áudio malicioso pode resultar no fechamento inesperado de um aplicativo
Descrição: havia um problema de memória corrompida no processamento de arquivos de áudio. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5862: YoungJin Yoon, do Information Security Lab. (Orientador: Prof. Taekyoung Kwon), Yonsei University, Seul, Coreia
Política de confiabilidade dos certificados
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: atualização para a política de confiabilidade dos certificados
Descrição: a política de confiabilidade dos certificados foi atualizada. Veja a lista completa de certificados em http://support.apple.com/pt-br/HT204873.
CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor com uma posição de rede privilegiada pode interceptar as conexões SSL/TLS
Descrição: havia um problema de validação do certificado em NSURL quando um certificado era alterado. Esse problema foi resolvido por meio de melhorias na validação do certificado.
ID de CVE
CVE-2015-5824: Timothy J. Wood, do The Omni Group
CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: a conexão a um proxy da web malicioso pode definir cookies maliciosos para um site
Descrição: havia um problema no processamento de respostas de conexão de proxy. Esse problema foi resolvido removendo o cabeçalho Set-Cookie ao analisar a resposta de conexão.
ID de CVE
CVE-2015-5841: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University
CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário
Descrição: havia um problema de cookie entre domínios no processamento de domínios de nível superior. O problema foi resolvido por meio de melhorias nas restrições de criação de cookies.
ID de CVE
CVE-2015-5885: Xiaofeng Zheng, do Blue Lotus Team, Tsinghua University
CFNetwork
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: alguém com acesso físico a um dispositivo iOS pode ler dados do cache de apps da Apple
Descrição: dados do cache estavam criptografados com uma chave protegida somente por um UID de hardware. Esse problema foi resolvido por meio da criptografia dos dados do cache com uma chave protegida pelo UID de hardware e o código do usuário.
ID de CVE
CVE-2015-5898: Andreas Kurtz, do NESO Security Labs
CoreCrypto
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor pode identificar uma chave privada
Descrição: ao observar várias tentativas de início de sessão ou decodificação, um invasor poderia definir e identificar a chave privada RSA. Esse problema foi resolvido por meio de melhorias nos algoritmos de criptografia.
CoreText
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.
ID de CVE
CVE-2015-5874: John Villamil (@day6reak), equipe Yahoo Pentest
Mecanismo Detectores de Dados
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: processar um arquivo de texto malicioso pode resultar na execução arbitrária de códigos
Descrição: havia problemas de corrompimento de memória no processamento de arquivos de texto. Esses problemas foram solucionados através de melhorias na verificação de limites.
ID de CVE
CVE-2015-5829: M1x7e1, do Safeye Team (www.safeye.org)
Dev Tools
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo com código mal-intencionado pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de memória corrompida no dyld. Esse problema foi solucionado por meio de melhorias no gerenciamento de memória.
ID de CVE
CVE-2015-5876: beist, da grayhash
Imagens de Disco
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de memória corrompida no DiskImages. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5847 : Filippo Bigarella, Luca Todesco
dyld
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo pode contornar a assinatura de códigos
Descrição: havia um problema na validação da assinatura de códigos de executáveis. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-5839: @PanguTeam, TaiG Jailbreak Team
GasGauge
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel
Descrição: havia vários problemas de corrupção de memória no kernel. Esses problemas foram solucionados por meio de melhorias no processamento de memória.
ID de CVE
CVE-2015-5918 : Apple
CVE-2015-5919 : Apple
ICU
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: várias vulnerabilidades no ICU
Descrição: havia diversas vulnerabilidades nas versões do ICU anteriores à 53.1.0 que foram resolvidas com a atualização do ICU para a versão 55.1.
ID de CVE
CVE-2014-8146 : Marc Deslauriers
CVE-2014-8147 : Marc Deslauriers
CVE-2015-5922 : Mark Brand do Google Project Zero
IOAcceleratorFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo malicioso pode configurar o layout de memória do kernel
Descrição: havia um problema que causou a divulgação do conteúdo da memória do kernel. Esse problema foi solucionado por meio de melhorias na verificação de limites.
ID de CVE
CVE-2015-5834: Cererdlong, da equipe da Alibaba Mobile Security
IOAcceleratorFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode executar códigos arbitrários com privilégios de sistema
Descrição: havia um problema de memória corrompida no IOAcceleratorFamily. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5848: Filippo Bigarella
IOKit
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo malicioso pode executar códigos arbitrariamente usando privilégios de sistema
Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5844: Filippo Bigarella
CVE-2015-5845: Filippo Bigarella
CVE-2015-5846: Filippo Bigarella
IOMobileFrameBuffer
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode conseguir executar códigos arbitrariamente com privilégios de sistema.
Descrição: havia um problema de memória corrompida no IOMobileFrameBuffer. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5843: Filippo Bigarella
IOStorageFamily
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor local pode ler a memória do kernel
Descrição: havia um problema de inicialização da memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5863: Ilja van Sprundel, da IOActive
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5868: Cererdlong, da equipe da Alibaba Mobile Security
CVE-2015-5896: Maxime Villard, da m00nbsd
CVE-2015-5903: CESG
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor local pode controlar o valor de cookies na pilha
Descrição: havia vários pontos fracos da geração de cookies na pilha do espaço do usuário. Isso foi resolvido por meio de melhorias na geração de cookies na pilha.
ID de CVE
CVE-2013-3951: Stefan Esser
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um processo local pode modificar outros processos sem verificações de direitos
Descrição: havia um problema em que processos de raiz usando o API processor_set_tasks tinham permissão de recuperar as portas de tarefa de outros processos. Esse problema foi resolvido por meio de melhorias na verificação de direitos.
ID de CVE
CVE-2015-5882: Pedro Vilaça, trabalhando em pesquisa original de Ming-chieh Pan e Sung-ting Tsai; Jonathan Levin
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um invasor em um segmento de LAN local pode desativar o IPv6 do roteador
Descrição: havia um problema de validação insuficiente no processamento de anúncios do roteador IPv6 que permitia a um invasor definir o limite de saltos para um valor arbitrário. Esse problema foi resolvido aplicando um limite mínimo de saltos.
ID de CVE
CVE-2015-5869: Dennis Spindel Ljungmark
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode determinar o layout de memória do kernel.
Descrição: havia um problema no XNU que causou a divulgação da memória do kernel. Isso foi resolvido por meio de melhorias na inicialização de estruturas da memória do kernel.
ID de CVE
CVE-2015-5842: beist, da grayhash
Kernel
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: havia um problema na montagem do drive HFS. Isso foi resolvido por meio de verificações de validação adicionais.
ID de CVE
CVE-2015-5748: Maxime VILLARD, do m00nbsd
libpthread
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um usuário local pode ser capaz de executar códigos arbitrários com privilégios de kernel
Descrição: havia um problema de corrupção de memória no kernel. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.
ID de CVE
CVE-2015-5899: Lufeng Li, da Qihoo 360 Vulcan Team
PluginKit
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: um aplicativo empresarial malicioso pode instalar extensões antes que o aplicativo seja confiável
Descrição: havia um problema na validação de extensões durante a instalação. Isso foi resolvido por meio de melhorias na verificação de apps.
ID de CVE
CVE-2015-5837: Zhaofeng Chen, Hui Xue e Tao (Lenx) Wei, da FireEye, Inc.
removefile
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: o processamento de dados maliciosos pode levar ao encerramento inesperado de aplicativos
Descrição: havia uma falha de estouro nas rotinas de divisão do checkint. Esse problema foi resolvido com melhorias nas rotinas de divisão.
ID de CVE
CVE-2015-5840: um pesquisador anônimo
SQLite
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: diversas vulnerabilidades no SQLite versão 3.8.5
Descrição: havia diversas vulnerabilidades no SQLite versão 3.8.5. Esses problemas foram resolvidos com a atualização para a versão 3.8.10.2 do SQLite.
ID de CVE
CVE-2015-3414
CVE-2015-3415
CVE-2015-3416
tidy
Disponível para: Apple Watch Sport, Apple Watch e Apple Watch Edition
Impacto: acessar um site criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de memória corrompida no Tidy. Esse problema foi resolvido por meio de melhorias no processamento da memória.
ID de CVE
CVE-2015-5522 : Fernando Muñoz do NULLGroup.com
CVE-2015-5523 : Fernando Muñoz do NULLGroup.com