Sobre o conteúdo de segurança do watchOS 4

Este documento descreve o conteúdo de segurança do watchOS 4.

Sobre as atualizações de segurança da Apple

Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.

Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.

Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.

watchOS 4

Lançamento em 19 de setembro de 2017

802.1X

Disponível para: todos os modelos do Apple Watch

Impacto: um invasor pode ser capaz de explorar pontos fracos do TLS 1.0

Descrição: um problema de segurança no protocolo foi resolvido com a ativação do TLS 1.1 e TLS 1.2.

CVE-2017-13832: Doug Wussler da Florida State University

Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017

CFNetwork

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13829: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro 

CVE-2017-13833: Niklas Baumstark e Samuel Gro em parceria com a Zero Day Initiative da Trend Micro

Entrada adicionada em 10 de novembro de 2017

CFNetwork Proxies

Disponível para: todos os modelos do Apple Watch

Impacto: um invasor em uma posição de rede privilegiada pode causar uma negação de serviço

Descrição: vários problemas de negação de serviço foram resolvidos por meio de melhorias no gerenciamento da memória.

CVE-2017-7083: Abhinav Bansal da Zscaler Inc.

Entrada adicionada em 25 de setembro de 2017

CFString

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-13821: Australian Cyber Security Centre – Australian Signals Directorate

Entrada adicionada em 31 de outubro de 2017

CoreAudio

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: uma leitura fora dos limites foi solucionada ao atualizar para o Opus 1.1.4.

CVE-2017-0381: V.E.O (@VYSEa) da Mobile Threat Research Team, Trend Micro

Entrada adicionada em 25 de setembro de 2017

CoreText

Disponível para: todos os modelos do Apple Watch

Impacto: processar um arquivo de fonte criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.

CVE-2017-13825: Australian Cyber Security Centre – Australian Signals Directorate

Entrada adicionada em 31 de outubro de 2017

file

Disponível para: todos os modelos do Apple Watch

Impacto: vários problemas em file

Descrição: diversos problemas foram resolvidos com a atualização para a versão 5.31.

CVE-2017-13815

Entrada adicionada em 31 de outubro de 2017

Fontes

Disponível para: todos os modelos do Apple Watch

Impacto: a renderização de texto não confiável pode causar spoofing

Descrição: um problema de interface de usuário inconsistente foi resolvido por meio de melhorias no gerenciamento de estados.

CVE-2017-13828: Leonard Grey e Robert Sesek do Google Chrome

Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017

HFS

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13830: Sergej Schumilo da Ruhr-University Bochum

Entrada adicionada em 31 de outubro de 2017

ImageIO

Disponível para: todos os modelos do Apple Watch

Impacto: processar uma imagem criada com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-13814: Australian Cyber Security Centre – Australian Signals Directorate

Entrada adicionada em 31 de outubro de 2017

ImageIO

Disponível para: todos os modelos do Apple Watch

Impacto: processar uma imagem criada com códigos maliciosos pode causar uma negação de serviço

Descrição: havia um problema de divulgação de informações no processamento de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

CVE-2017-13831: Glen Carmichael

Entrada adicionada em 31 de outubro de 2017 e atualizada em 10 de novembro de 2017

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um usuário local pode ler a memória do kernel

Descrição: havia um problema de leitura fora dos limites que causava a divulgação da memória do kernel. Esse problema foi resolvido por meio de melhorias na validação de entradas.

CVE-2017-13817: Maxime Villard (m00nbsd)

Entrada adicionada em 31 de outubro de 2017

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode conseguir ler a memória restrita

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-13818: National Cyber Security Centre (NCSC) do Reino Unido

CVE-2017-13836: pesquisador anônimo

CVE-2017-13841: pesquisador anônimo

CVE-2017-13840: pesquisador anônimo

CVE-2017-13842: pesquisador anônimo

CVE-2017-13782: pesquisador anônimo

Entrada adicionada em 31 de outubro de 2017

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13843: pesquisador anônimo

Entrada adicionada em 31 de outubro de 2017

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7114: Alex Plaskett da MWR InfoSecurity

Entrada adicionada em 25 de setembro de 2017

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13854: shrek_wzw da Qihoo 360 Nirvan Team

Entrada adicionada em 2 de novembro de 2017

Kernel

Disponível para: todos os modelos do Apple Watch

Impacto: processar um binário de mach inválido pode causar a execução arbitrária de códigos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias na validação.

CVE-2017-13834: Maxime Villard (m00nbsd)

Entrada adicionada em 10 de novembro de 2017

libarchive

Disponível para: todos os modelos do Apple Watch

Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: um problema de estouro de buffer foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-13813: encontrado por OSS-Fuzz

CVE-2017-13816: encontrado por OSS-Fuzz

Entrada adicionada em 31 de outubro de 2017

libarchive

Disponível para: todos os modelos do Apple Watch

Impacto: descompactar um arquivo criado com códigos maliciosos pode causar a execução arbitrária de códigos

Descrição: havia diversos problemas de corrompimento de memória no libarchive. Esses problemas foram resolvidos por meio de melhorias na validação de entradas.

CVE-2017-13812: encontrado por OSS-Fuzz

Entrada adicionada em 31 de outubro de 2017

libc

Disponível para: todos os modelos do Apple Watch

Impacto: um invasor remoto podia causar uma negação de serviço

Descrição: um problema de esgotamento de recursos no glob() foi solucionado por meio de um algoritmo aprimorado.

CVE-2017-7086: Russ Cox da Google

Entrada adicionada em 25 de setembro de 2017

libc

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo podia causar uma negação de serviço

Descrição: um problema de consumo de memória foi solucionado por meio de melhorias no processamento da memória.

CVE-2017-1000373

Entrada adicionada em 25 de setembro de 2017

libexpat

Disponível para: todos os modelos do Apple Watch

Impacto: vários problemas no expat

Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 2.2.1

CVE-2016-9063

CVE-2017-9233

Entrada adicionada em 25 de setembro de 2017

Segurança

Disponível para: todos os modelos do Apple Watch

Impacto: um certificado revogado pode ser confiável

Descrição: havia um problema de validação de certificação no processamento de dados revogados. Esse problema foi resolvido por meio de melhorias na validação.

CVE-2017-7080: um pesquisador anônimo, Sven Driemecker da adesso mobile solutions gmbh e um pesquisador anônimo, Rune Darrud (@theflyingcorpse) da Bærum kommune

Entrada adicionada em 25 de setembro de 2017

SQLite

Disponível para: todos os modelos do Apple Watch

Impacto: vários problemas no SQLite

Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 3.19.3.

CVE-2017-10989: encontrado por OSS-Fuzz

CVE-2017-7128: encontrado por OSS-Fuzz

CVE-2017-7129: encontrado por OSS-Fuzz

CVE-2017-7130: encontrado por OSS-Fuzz

Entrada adicionada em 25 de setembro de 2017

SQLite

Disponível para: todos os modelos do Apple Watch

Impacto: um aplicativo podia executar códigos arbitrários com privilégios de sistema

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7127: um pesquisador anônimo

Entrada adicionada em 25 de setembro de 2017

Wi-Fi

Disponível para: todos os modelos do Apple Watch

Impacto: a execução de códigos maliciosos no chip de Wi-Fi pode causar a execução arbitrária de códigos com privilégios de kernel no processador de aplicativos

Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.

CVE-2017-7103: Gal Beniamini do Google Project Zero

CVE-2017-7105: Gal Beniamini do Google Project Zero

CVE-2017-7108: Gal Beniamini do Google Project Zero

CVE-2017-7110: Gal Beniamini do Google Project Zero

CVE-2017-7112: Gal Beniamini do Google Project Zero

Wi-Fi

Disponível para: todos os modelos do Apple Watch

Impacto: a execução de códigos maliciosos no chip de Wi-Fi pode causar a leitura da memória restrita do kernel

Descrição: um problema de validação foi resolvido por meio de melhorias na limpeza de entradas.

CVE-2017-7116: Gal Beniamini do Google Project Zero

zlib

Disponível para: todos os modelos do Apple Watch

Impacto: vários problemas no zlib

Descrição: diversos problemas foram resolvidos ao fazer a atualização para a versão 1.2.11.

CVE-2016-9840

CVE-2016-9841

CVE-2016-9842

CVE-2016-9843

Entrada adicionada em 25 de setembro de 2017

Outros reconhecimentos

Segurança

Gostaríamos de agradecer a Abhinav Bansal da Zscaler, Inc. pela ajuda.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Os riscos são inerentes ao uso da internet. Entre em contato com o fornecedor para obter mais informações. Nomes de outras empresas e produtos podem ser marcas registradas de seus respectivos proprietários.

Data da publicação: