Acerca dos conteúdos de segurança do watchOS 3

Este documento descreve os conteúdos de segurança do watchOS 3.

Para proteção dos nossos clientes, a Apple não divulga, comenta nem confirma problemas de segurança enquanto não for efetuada uma investigação e não estiverem disponíveis as correções ou versões necessárias. Os lançamentos recentes são apresentados na página Atualizações de segurança da Apple.

Para obter mais informações acerca da segurança, consulte a página Segurança dos produtos Apple. Pode cifrar comunicações com a Apple através da Chave PGP de segurança dos produtos Apple.

Sempre que possível, os documentos de segurança da Apple designam as vulnerabilidades através de ID CVE.

watchOS 3

Data de lançamento: 13 de setembro de 2016

Áudio

Disponível para: todos os modelos de Apple Watch

Impacto: um atacante remoto poderá conseguir executar um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4702: YoungJin Yoon, MinSik Shin, HoJae Han, Sunghyun Park e Taekyoung Kwon da Information Security Lab, Universidade de Yonsei

Entrada adicionada a 20 de setembro de 2016

CFNetwork

Disponível para: todos os modelos de Apple Watch

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá comprometer as informações de utilizadores

Descrição: existia um problema de validação da entrada na análise do cabeçalho definido por cookies. Este problema foi resolvido através da verificação melhorada da validação.

CVE-2016-4708: Dawid Czagan da Silesia Security Lab

Entrada adicionada a 20 de setembro de 2016

CoreCrypto

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação poderá conseguir executar um código arbitrário

Descrição: foi resolvido um problema de escrita fora dos limites através da remoção do código vulnerável.

CVE-2016-4712: Gergo Koteles

Entrada adicionada a 20 de setembro de 2016

FontParser

Disponível para: todos os modelos de Apple Watch

Impacto: o processamento de um tipo de letra criado com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: existia um problema de ultrapassagem do limite máximo do buffer no processamento de ficheiros de tipo de letra. Este problema foi resolvido através da verificação melhorada dos limites.

CVE-2016-4718: Apple

Entrada adicionada a 20 de setembro de 2016

GeoServices

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação poderá conseguir ler informações confidenciais de localização

Descrição: existia um problema nas permissões do PlaceData. Este problema foi resolvido através da validação melhorada da permissão.

CVE-2016-4719: Razvan Deaconescu, Mihai Chiroiu (Universidade Politécnica de Bucareste); Luke Deshotels, William Enck (Universidade Estadual da Carolina do Norte); Lucas Vincenzo Davi, Ahmad-Reza Sadeghi (Universidade Técnica de Darmstadt)

IOAcceleratorFamily

Disponível para: todos os modelos de Apple Watch

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a divulgação da memória de processamento

Descrição: foi resolvido um problema de corrupção de memória através da validação melhorada da entrada.

CVE-2016-4725: Rodger Combs da Plex, Inc.

Entrada adicionada a 20 de setembro de 2016

IOAcceleratorFamily

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4726: um investigador anónimo

Entrada adicionada a 20 de setembro de 2016

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um atacante remoto poderá conseguir provocar uma recusa de serviço

Descrição: foi resolvido um problema de processamento de bloqueio através do processamento melhorado do bloqueio.

CVE-2016-4772: Marc Heuse da mh-sec

Entrada adicionada a 20 de setembro de 2016

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação poderá conseguir determinar o esquema de memória do kernel

Descrição: existiam vários problemas de leitura fora dos limites que levavam à divulgação da memória do kernel. Estes problemas foram resolvidos através da validação melhorada da entrada.

CVE-2016-4773: Brandon Azad

CVE-2016-4774: Brandon Azad

CVE-2016-4776: Brandon Azad

Entrada adicionada a 20 de setembro de 2016

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: um utilizador local poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4775: Brandon Azad

Entrada adicionada a 20 de setembro de 2016

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foi resolvido um problema de não referência no indicador não fidedigno através da remoção do código afetado.

CVE-2016-4777: Lufeng Li da Equipa Vulcan da Qihoo 360

Entrada adicionada a 20 de setembro de 2016

Kernel

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação poderá conseguir executar um código arbitrário com privilégios do kernel

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4778: CESG

Entrada adicionada a 20 de setembro de 2016

libxml2

Disponível para: todos os modelos de Apple Watch

Impacto: existiam vários problemas no libxml2, o mais grave dos quais poderá provocar o encerramento inesperado da aplicação ou a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4658: Nick Wellnhofer

CVE-2016-5131: Nick Wellnhofer

Entrada adicionada a 20 de setembro de 2016

libxslt

Disponível para: todos os modelos de Apple Watch

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foi resolvido um problema de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4738: Nick Wellnhofer

Entrada adicionada a 20 de setembro de 2016

Segurança

Disponível para: todos os modelos de Apple Watch

Impacto: uma aplicação maliciosa poderá conseguir executar código arbitrário com privilégios do sistema

Descrição: existia um problema de validação em imagens de disco assinadas. Este problema foi resolvido através da validação melhorada do tamanho.

CVE-2016-4753: Mark Mentovai da Google Inc.

Entrada adicionada a 20 de setembro de 2016

WebKit

Disponível para: todos os modelos de Apple Watch

Impacto: o processamento de conteúdos web criados com intuito malicioso poderá provocar a execução de um código arbitrário

Descrição: foram resolvidos vários problemas de corrupção de memória através do processamento melhorado da memória.

CVE-2016-4737: Apple

Entrada adicionada a 20 de setembro de 2016

Gestor de Wi-Fi

Disponível para: todos os modelos de Apple Watch

Impacto: as extensões de app poderão obter acesso à Internet

Descrição: vários problemas de aplicação de políticas com a partilha de Wi-Fi. Estes problemas foram resolvidos com verificações melhoradas dos direitos.

CVE-2016-7699: Proteas da Equipa Nirvan da Qihoo 360

Entrada adicionada a 17 de maio de 2017

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Existem riscos inerentes à utilização da Internet. Contacte o fornecedor para obter informações adicionais. Outros nomes de empresas e de produtos podem ser marcas comerciais dos respetivos proprietários.

Data de publicação: