Sobre o conteúdo de segurança do watchOS 3.1.3

Este documento descreve o conteúdo de segurança do watchOS 3.1.3.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para ver mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

watchOS 3.1.3

Lançado em 23 de janeiro de 2017

Contas

Disponível para: todos os modelos de Apple Watch

Impacto: desinstalar um app não redefiniu os ajustes de autorização

Descrição: havia um problema que fazia os ajustes de autorização não serem redefinidos na desinstalação de apps. Esse problema foi resolvido por meio de melhorias na limpeza.

CVE-2016-7651: Ju Zhu e Lilang Wu da Trend Micro

Servidor APNS

Disponível para: todos os modelos de Apple Watch

Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário

Descrição: o certificado do cliente era enviado em texto simples. Esse problema foi resolvido por meio de melhorias no processamento de certificados.

CVE-2017-2383: Matthias Wachs e Quirin Scheitle da Technische Universität München (TUM)

Entrada adicionada em 28 de março de 2017

Áudio

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7658: Haohao Kong do Keen Lab (@keen_lab) da Tencent

CVE-2016-7659: Haohao Kong do Keen Lab (@keen_lab) da Tencent

CoreFoundation

Disponível para: todos os modelos de Apple Watch

Impacto: processar strings criadas com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: havia um problema de corrupção de memória no processamento de strings. Esse problema foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-7663: pesquisador anônimo

CoreGraphics

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos

Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7627: TRAPMINE Inc. e Meysam Firouzi @R00tkitSMM

CoreMedia Playback

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo .mp4 criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7588: dragonltx da Huawei 2012 Laboratories

CoreText

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

CVE-2016-7595: riusksk(泉哥) do Tencent Security Platform Department

Imagens de disco

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7616: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro

FontParser

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.

CVE-2016-4691: riusksk(泉哥) do Tencent Security Platform Department

FontParser

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-4688: Simon Huang da empresa Alipay, thelongestusernameofall@gmail.com

ICU

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7594: André Bargull

ImageIO

Disponível para: todos os modelos de Apple Watch

Impacto: um invasor remoto pode causar o vazamento de memória

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.

CVE-2016-7643: Yangkang (@dnpushme) da equipe Qex da Qihoo360

IOHIDFamily

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7591: daybreaker do Minionz

IOKit

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode ler a memória do kernel

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7657: Keen Lab em parceria com a Zero Day Initiative da Trend Micro

IOKit

Disponível para: todos os modelos de Apple Watch

Impacto: um usuário local pode definir o layout de memória do kernel

Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7714: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 25 de janeiro de 2017

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: vários problemas de corrupção de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2016-7606: Chen Qin da Topsec Alpha Team (topsec.com), @cocoahuke

CVE-2016-7612: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode ler a memória do kernel

Descrição: um problema de inicialização insuficiente foi resolvido por meio da inicialização adequada da memória para retornar ao espaço do usuário.

CVE-2016-7607: Brandon Azad

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um usuário local pode causar uma negação de serviço do sistema

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7615: National Cyber Security Centre (NCSC, Centro de Segurança Cibernética Nacional do Reino Unido)

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7621: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7637: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2016-7644: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode causar uma negação de serviço

Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-7647: Lufeng Li da Qihoo 360 Vulcan Team

Entrada adicionada em 17 de maio de 2017

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2370: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2360: Ian Beer do Google Project Zero

libarchive

Disponível para: todos os modelos de Apple Watch

Impacto: um invasor local pode substituir arquivos existentes

Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2016-7619: pesquisador anônimo

libarchive

Disponível para: todos os modelos de Apple Watch

Impacto: descompactar um arquivo criado com códigos maliciosos pode resultar na execução arbitrária de códigos

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2016-8687: Agostino Sarubbo da Gentoo

Perfis

Disponível para: todos os modelos de Apple Watch

Impacto: abrir um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de corrupção de memória no processamento de perfis de certificado. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)

Segurança

Disponível para: todos os modelos de Apple Watch

Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico 3DES

Descrição: o algoritmo 3DES foi removido como cifra padrão.

CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan da INRIA, Paris

Segurança

Disponível para: todos os modelos de Apple Watch

Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço

Descrição: havia um problema de validação no processamento de URLs de resposta de OCSP. Esse problema foi resolvido ao verificar o status da revogação de OCSP após a validação de CA e limitar o número de solicitações de OCSP por certificado.

CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)

Segurança

Disponível para: todos os modelos de Apple Watch

Impacto: os certificados podem ser inesperadamente avaliados como confiáveis

Descrição: havia um problema de avaliação de certificado na validação de certificados. Esse problema foi resolvido por meio de validação adicional de certificados.

CVE-2016-7662: Apple

syslog

Disponível para: todos os modelos de Apple Watch

Impacto: um usuário local pode obter privilégios raiz

Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.

CVE-2016-7660: Ian Beer do Google Project Zero

Desbloqueio com o iPhone

Disponível para: todos os modelos de Apple Watch

Impacto: o Apple Watch pode ser desbloqueado quando não está no pulso do usuário

Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2352: Ashley Fernandez da raptAware Pty Ltd

Entrada atualizada em 25 de janeiro de 2017

WebKit

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2016-7589: Apple

WebKit

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada

Descrição: havia vários problemas de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.

CVE-2017-2363: lokihardt do Google Project Zero

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: