Sobre o conteúdo de segurança do watchOS 3.2
Este documento descreve o conteúdo de segurança do watchOS 3.2.
Sobre as atualizações de segurança da Apple
Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para ver mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
watchOS 3.2
Áudio
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2430: um pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
CVE-2017-2462: um pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
Carbon
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo .dfont criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-2379: riusksk (泉哥) do Tencent Security Platform Department, John Villamil, Doyensec
CoreGraphics
Disponível para: todos os modelos de Apple Watch
Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço
Descrição: um problema de recursão infinita foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-2417: riusksk (泉哥) do Tencent Security Platform Department
CoreGraphics
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.
CVE-2017-2444: Mei Wang da 360 GearTeam
CoreText
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2435: John Villamil, Doyensec
CoreText
Disponível para: todos os modelos de Apple Watch
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2450: John Villamil, Doyensec
CoreText
Disponível para: todos os modelos de Apple Watch
Impacto: processar uma mensagem de texto criada com códigos maliciosos pode causar uma negação de serviço no aplicativo
Descrição: o problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2461: um pesquisador anônimo, Isaac Archambault of IDAoADI
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.
CVE-2017-2487: riusksk (泉哥) do Tencent Security Platform Department
CVE-2017-2406: riusksk (泉哥) do Tencent Security Platform Department
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: analisar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.
CVE-2017-2407: riusksk (泉哥) do Tencent Security Platform Department
FontParser
Disponível para: todos os modelos de Apple Watch
Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo
Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2439: John Villamil, Doyensec
HTTPProtocol
Disponível para: todos os modelos de Apple Watch
Impacto: um servidor HTTP/2 malicioso pode causar comportamento indefinido
Descrição: havia diversos problemas no nghttp2 anteriores à versão 1.17.0. Eles foram resolvidos com a atualização do nghttp2 para a versão 1.17.0.
CVE-2017-2428
ImageIO
Disponível para: todos os modelos de Apple Watch
Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) do KeenLab, Tencent
ImageIO
Disponível para: todos os modelos de Apple Watch
Impacto: visualizar um arquivo JPEG criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2432: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro
ImageIO
Disponível para: todos os modelos de Apple Watch
Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2467
ImageIO
Disponível para: todos os modelos de Apple Watch
Impacto: processar uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos
Descrição: havia um problema de leitura fora dos limites no LibTIFF em versões anteriores à 4.0.7. Ele foi resolvido com a atualização do LibTIFF no ImageIO para a versão 4.0.7.
CVE-2016-3619
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2401: Lufeng Li da Qihoo 360 Vulcan Team
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2440: um pesquisador anônimo
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios raiz
Descrição: uma condição de corrida foi resolvida por meio de melhorias no processamento da memória.
CVE-2017-2456: lokihardt do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2472: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2473: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de atraso de um dia foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-2474: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.
CVE-2017-2478: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2482: Ian Beer do Google Project Zero
CVE-2017-2483: Ian Beer do Google Project Zero
Kernel
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios elevados
Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2490: Ian Beer do Google Project Zero, National Cyber Security Centre (NCSC) do Reino Unido
Teclados
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários
Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-2458: Shashank (@cyberboyIndia)
libarchive
Disponível para: todos os modelos de Apple Watch
Impacto: um invasor local pode conseguir alterar as permissões do sistema de arquivos em diretórios arbitrários
Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.
CVE-2017-2390: Omer Medan da enSilo Ltd
libc++abi
Disponível para: todos os modelos de Apple Watch
Impacto: decodificar um aplicativo C++ malicioso pode causar a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2441
libxslt
Disponível para: todos os modelos de Apple Watch
Impacto: diversas vulnerabilidades no libxslt
Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento da memória.
CVE-2017-5029: Holger Fuhrmannek
Segurança
Disponível para: todos os modelos de Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios raiz
Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.
CVE-2017-2451: Alex Radocea da Longterm Security, Inc.
Segurança
Disponível para: todos os modelos de Apple Watch
Impacto: processar um certificado x509 criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: havia um problema de corrompimento de memória na análise de certificados. Esse problema foi resolvido por meio de melhorias na validação de entradas.
CVE-2017-2485: Aleksandar Nikolic da Cisco Talos
WebKit
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-2415: Kai Kang do Xuanwu Lab da Tencent (tencent.com)
WebKit
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar um consumo de memória elevado
Descrição: um problema de consumo de recursos descontrolado foi resolvido por meio de melhorias no processamento de expressões regulares.
CVE-2016-9643: Gustavo Grieco
WebKit
Disponível para: todos os modelos de Apple Watch
Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos
Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.
CVE-2017-2471: Ivan Fratric do Google Project Zero
Reconhecimento adicional
XNU
Queremos agradecer a Lufeng Li da Qihoo 360 Vulcan Team pela ajuda.
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.