Sobre o conteúdo de segurança do watchOS 4.1
Este documento descreve o conteúdo de segurança do watchOS 4.1.
Sobre as atualizações de segurança da Apple
Para garantir a proteção dos clientes, a Apple não divulga, não discute, nem confirma problemas de segurança até que uma investigação seja conduzida e as correções ou versões estejam disponíveis. As versões recentes estão indicadas na página Atualizações de segurança da Apple.
Para obter mais informações sobre segurança, consulte a página sobre segurança de produtos Apple. É possível criptografar as comunicações com a Apple usando a Chave PGP de Segurança do Produto Apple.
Os documentos de segurança da Apple mencionam vulnerabilidades por meio do ID de CVE quando possível.
watchOS 4.1
CoreText
Disponível para: todos os modelos do Apple Watch
Impacto: o processamento de um arquivo de texto criado com códigos maliciosos pode levar ao encerramento inesperado de aplicativos
Descrição: um problema de negação de serviço foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13849: Ro da SavSec
Kernel
Disponível para: todos os modelos do Apple Watch
Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel
Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento da memória.
CVE-2017-13799: Lufeng Li da Qihoo 360 Vulcan Team
Kernel
Disponível para: todos os modelos do Apple Watch
Impacto: um aplicativo malicioso pode descobrir informações sobre a presença e a operação de outros aplicativos no dispositivo.
Descrição: um aplicativo conseguia acessar informações de processo mantidas pelo sistema operacional sem restrições. Esse problema foi resolvido por meio da limitação de taxa.
CVE-2017-13852: Xiaokuan Zhang e Yinqian Zhang da The Ohio State University, Xueqiang Wang e XiaoFeng Wang da Indiana University Bloomington e Xiaolong Bai da Tsinghua University
StreamingZip
Disponível para: todos os modelos do Apple Watch
Impacto: um arquivo zip com códigos maliciosos pode ser capaz de modificar áreas restritas do sistema de arquivos
Descrição: um problema de processamento de caminhos foi resolvido por meio de melhorias na validação.
CVE-2017-13804: @qwertyoruiopz da KJC Research Intl. S.R.L.
Wi-Fi
Nenhum modelo de Apple Watch foi afetado por essa vulnerabilidade
Impacto: um invasor dentro do alcance do Wi-Fi pode forçar a reutilização de um nonce em clientes unicast/PTK WPA (ataques de reinstalação de chave - KRACK)
Descrição: havia um problema de lógica no processamento de transações de estado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-13077: Mathy Vanhoef do grupo imec-DistriNet na KU Leuven
CVE-2017-13078: Mathy Vanhoef do grupo imec-DistriNet na KU Leuven
Wi-Fi
Disponível para: Apple Watch Series 1 e Apple Watch Series 2
Impacto: um invasor dentro do alcance do Wi-Fi pode forçar a reutilização de um nonce em clientes multicast/PTK WPA (ataques de reinstalação de chave - KRACK)
Descrição: havia um problema de lógica no processamento de transações de estado. Esse problema foi resolvido por meio de melhorias no gerenciamento de estados.
CVE-2017-13080: Mathy Vanhoef do grupo imec-DistriNet na KU Leuven
As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.