Sobre o conteúdo de segurança do watchOS 3.2

Este documento descreve o conteúdo de segurança do watchOS 3.2.

Sobre as atualizações de segurança da Apple

Para garantir a proteção de nossos clientes, a Apple não divulga, não discute nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para ver mais informações sobre segurança, consulte a página Segurança do produto Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

watchOS 3.2

Lançado em 27 de março de 2017

Áudio

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de áudio criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2430: um pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

CVE-2017-2462: um pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

Carbon

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo .dfont criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: ocorria um estouro de buffer durante o processamento de arquivos de fonte. Esse problema foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2379: riusksk (泉哥) do Tencent Security Platform Department, John Villamil, Doyensec

CoreGraphics

Disponível para: todos os modelos de Apple Watch

Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço

Descrição: um problema de recursão infinita foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-2417: riusksk (泉哥) do Tencent Security Platform Department

CoreGraphics

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2444: Mei Wang da 360 GearTeam

CoreText

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2435: John Villamil, Doyensec

CoreText

Disponível para: todos os modelos de Apple Watch

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2450: John Villamil, Doyensec

CoreText

Disponível para: todos os modelos de Apple Watch

Impacto: processar uma mensagem de texto criada com códigos maliciosos pode causar uma negação de serviço no aplicativo

Descrição: o problema de esgotamento de recursos foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2461: um pesquisador anônimo, Isaac Archambault of IDAoADI

FontParser

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2487: riusksk (泉哥) do Tencent Security Platform Department

CVE-2017-2406: riusksk (泉哥) do Tencent Security Platform Department

FontParser

Disponível para: todos os modelos de Apple Watch

Impacto: analisar um arquivo de fonte criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-2407: riusksk (泉哥) do Tencent Security Platform Department

FontParser

Disponível para: todos os modelos de Apple Watch

Impacto: processar uma fonte criada com códigos maliciosos pode causar a divulgação da memória de processo

Descrição: um problema de leitura fora dos limites foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2439: John Villamil, Doyensec

HTTPProtocol

Disponível para: todos os modelos de Apple Watch

Impacto: um servidor HTTP/2 malicioso pode causar comportamento indefinido

Descrição: havia diversos problemas no nghttp2 anteriores à versão 1.17.0. Eles foram resolvidos com a atualização do nghttp2 para a versão 1.17.0.

CVE-2017-2428

Entrada atualizada em 28 de março de 2017

ImageIO

Disponível para: todos os modelos de Apple Watch

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2416: Qidan He (何淇丹, @flanker_hqd) do KeenLab, Tencent

ImageIO

Disponível para: todos os modelos de Apple Watch

Impacto: visualizar um arquivo JPEG criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2432: pesquisador anônimo em parceria com a Zero Day Initiative da Trend Micro

ImageIO

Disponível para: todos os modelos de Apple Watch

Impacto: processar um arquivo criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2467

ImageIO

Disponível para: todos os modelos de Apple Watch

Impacto: processar uma imagem criada com códigos maliciosos pode causar o encerramento inesperado de aplicativos

Descrição: havia um problema de leitura fora dos limites no LibTIFF em versões anteriores à 4.0.7. Ele foi resolvido com a atualização do LibTIFF no ImageIO para a versão 4.0.7.

CVE-2016-3619

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2401: Lufeng Li da Qihoo 360 Vulcan Team

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de inteiro foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2440: um pesquisador anônimo

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios raiz

Descrição: uma condição de corrida foi resolvida por meio de melhorias no processamento da memória.

CVE-2017-2456: lokihardt do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2472: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo malicioso pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2473: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de atraso de um dia foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2474: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: uma condição de corrida foi resolvida por meio de melhorias no bloqueio.

CVE-2017-2478: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2482: Ian Beer do Google Project Zero

CVE-2017-2483: Ian Beer do Google Project Zero

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios elevados

Descrição: um problema de corrompimento de memória foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2490: Ian Beer do Google Project Zero, National Cyber Security Centre (NCSC) do Reino Unido

Entrada adicionada em 31 de março de 2017

Teclados

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários

Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2458: Shashank (@cyberboyIndia)

libarchive

Disponível para: todos os modelos de Apple Watch

Impacto: um invasor local pode conseguir alterar as permissões do sistema de arquivos em diretórios arbitrários

Descrição: havia um problema de validação no processamento de links simbólicos. Esse problema foi resolvido por meio de melhorias na validação de links simbólicos.

CVE-2017-2390: Omer Medan da enSilo Ltd

libc++abi

Disponível para: todos os modelos de Apple Watch

Impacto: decodificar um aplicativo C++ malicioso pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2441

libxslt

Disponível para: todos os modelos de Apple Watch

Impacto: diversas vulnerabilidades no libxslt

Descrição: vários problemas de corrompimento de memória foram resolvidos por meio de melhorias no processamento da memória.

CVE-2017-5029: Holger Fuhrmannek

Entrada adicionada em 28 de março de 2017

Segurança

Disponível para: todos os modelos de Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios raiz

Descrição: o estouro de buffer foi resolvido por meio de melhorias na verificação de limites.

CVE-2017-2451: Alex Radocea da Longterm Security, Inc.

Segurança

Disponível para: todos os modelos de Apple Watch

Impacto: processar um certificado x509 criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia um problema de corrompimento de memória na análise de certificados. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-2485: Aleksandar Nikolic da Cisco Talos

WebKit

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-2415: Kai Kang do Xuanwu Lab da Tencent (tencent.com)

WebKit

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar um consumo de memória elevado

Descrição: um problema de consumo de recursos descontrolado foi resolvido por meio de melhorias no processamento de expressões regulares.

CVE-2016-9643: Gustavo Grieco

WebKit

Disponível para: todos os modelos de Apple Watch

Impacto: processar conteúdo da web criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema do tipo "uso após a liberação" foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-2471: Ivan Fratric do Google Project Zero

Reconhecimento adicional

XNU

Queremos agradecer a Lufeng Li da Qihoo 360 Vulcan Team pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: