Sobre o conteúdo de segurança do watchOS 3.1.3
Este documento descreve o conteúdo de segurança do watchOS 3.1.3.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para ver mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
watchOS 3.1.3
Contas
Disponível para: todos os modelos de Apple Watch
Impacto: desinstalar um app não redefiniu os ajustes de autorização
Descrição: havia um problema que fazia os ajustes de autorização não serem redefinidos na desinstalação de apps. Esse problema foi resolvido por meio de melhorias na limpeza.
CVE-2016-7651: Ju Zhu e Lilang Wu da Trend Micro
Servidor APNS
Disponível para: todos os modelos de Apple Watch
Impacto: um invasor em uma posição de rede privilegiada pode rastrear a atividade de um usuário
Descrição: o certificado do cliente era enviado em texto simples. Esse problema foi resolvido por meio de melhorias no processamento de certificados.
CVE-2017-2383: Matthias Wachs e Quirin Scheitle da Technische Universität München (TUM)
Áudio
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7658: Haohao Kong do Keen Lab (@keen_lab) da Tencent
CVE-2016-7659: Haohao Kong do Keen Lab (@keen_lab) da Tencent
CoreFoundation
Disponível para: todos os modelos de Apple Watch
Impacto: processar strings criadas com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de strings. Esse problema foi resolvido por meio de melhorias na verificação de limites.
CVE-2016-7663: pesquisador anônimo
CoreGraphics
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos
Descrição: um problema de cancelamento de referência de ponteiro nulo foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7627: TRAPMINE Inc. e Meysam Firouzi @R00tkitSMM
CoreMedia Playback
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo .mp4 criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7588: dragonltx da Huawei 2012 Laboratories
CoreText
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
CVE-2016-7595: riusksk(泉哥) do Tencent Security Platform Department
Imagens de disco
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7616: daybreaker@Minionz em parceria com a Zero Day Initiative da Trend Micro
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia vários problemas de corrupção de memória no processamento de arquivos de fonte. Esses problemas foram resolvidos por meio de melhorias na verificação de limites.
CVE-2016-4691: riusksk(泉哥) do Tencent Security Platform Department
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na verificação de limites.
CVE-2016-4688: Simon Huang da empresa Alipay, thelongestusernameofall@gmail.com
ICU
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7594: André Bargull
ImageIO
Disponível para: todos os modelos de Apple Watch
Impacto: um invasor remoto pode causar o vazamento de memória
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na verificação de limites.
CVE-2016-7643: Yangkang (@dnpushme) da equipe Qex da Qihoo360
IOHIDFamily
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2016-7591: daybreaker do Minionz
IOKit
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode ler a memória do kernel
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7657: Keen Lab em parceria com a Zero Day Initiative da Trend Micro
IOKit
Disponível para: todos os modelos de Apple Watch
Impacto: um usuário local pode definir o layout de memória do kernel
Descrição: um problema de memória compartilhada foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7714: Qidan He (@flanker_hqd) do KeenLab em parceria com a Zero Day Initiative da Trend Micro
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: vários problemas de corrupção de memória foram resolvidos por meio de melhorias na validação de entradas.
CVE-2016-7606: Chen Qin da Topsec Alpha Team (topsec.com), @cocoahuke
CVE-2016-7612: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode ler a memória do kernel
Descrição: um problema de inicialização insuficiente foi resolvido por meio da inicialização adequada da memória para retornar ao espaço do usuário.
CVE-2016-7607: Brandon Azad
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um usuário local pode causar uma negação de serviço do sistema
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7615: National Cyber Security Centre (NCSC, Centro de Segurança Cibernética Nacional do Reino Unido)
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um usuário local pode causar um encerramento inesperado do sistema ou a execução arbitrária de códigos no kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2016-7621: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um usuário local pode obter privilégios raiz
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7637: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo local com privilégios de sistema pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2016-7644: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode causar uma negação de serviço
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-7647: Lufeng Li da Qihoo 360 Vulcan Team
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2370: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2360: Ian Beer do Google Project Zero
libarchive
Disponível para: todos os modelos de Apple Watch
Impacto: um invasor local pode substituir arquivos existentes
Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2016-7619: pesquisador anônimo
libarchive
Disponível para: todos os modelos de Apple Watch
Impacto: descompactar um arquivo criado com códigos maliciosos pode resultar na execução arbitrária de códigos
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2016-8687: Agostino Sarubbo da Gentoo
Perfis
Disponível para: todos os modelos de Apple Watch
Impacto: abrir um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrupção de memória no processamento de perfis de certificado. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2016-7626: Maksymilian Arciemowicz (cxsecurity.com)
Segurança
Disponível para: todos os modelos de Apple Watch
Impacto: um invasor pode explorar as vulnerabilidades do algoritmo criptográfico 3DES
Descrição: o algoritmo 3DES foi removido como cifra padrão.
CVE-2016-4693: Gaëtan Leurent e Karthikeyan Bhargavan da INRIA, Paris
Segurança
Disponível para: todos os modelos de Apple Watch
Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço
Descrição: havia um problema de validação no processamento de URLs de resposta de OCSP. Esse problema foi resolvido ao verificar o status da revogação de OCSP após a validação de CA e limitar o número de solicitações de OCSP por certificado.
CVE-2016-7636: Maksymilian Arciemowicz (cxsecurity.com)
Segurança
Disponível para: todos os modelos de Apple Watch
Impacto: os certificados podem ser inesperadamente avaliados como confiáveis
Descrição: havia um problema de avaliação de certificado na validação de certificados. Esse problema foi resolvido por meio de validação adicional de certificados.
CVE-2016-7662: Apple
syslog
Disponível para: todos os modelos de Apple Watch
Impacto: um usuário local pode obter privilégios raiz
Descrição: um problema nas referências de nome da porta mach foi resolvido por meio de melhorias na validação.
CVE-2016-7660: Ian Beer do Google Project Zero
Desbloqueio com o iPhone
Disponível para: todos os modelos de Apple Watch
Impacto: o Apple Watch pode ser desbloqueado quando não está no pulso do usuário
Descrição: um problema de lógica foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2352: Ashley Fernandez da raptAware Pty Ltd
WebKit
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrupção de memória foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2016-7589: Apple
WebKit
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode extrair dados de origem cruzada
Descrição: havia vários problemas de validação no processamento do carregamento de páginas. Esse problema foi resolvido por meio de melhorias na lógica.
CVE-2017-2363: lokihardt do Google Project Zero
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.