Sobre o conteúdo de segurança do watchOS 2.2

Este documento descreve o conteúdo de segurança do watchOS 2.2.

Para garantir a proteção de nossos clientes, a Apple não divulga, discute nem confirma problemas de segurança até que uma investigação completa seja conduzida e qualquer correção ou versão necessária esteja disponível. Para saber mais sobre Segurança do Produto Apple, consulte o site Segurança do Produto Apple.

Para obter informações sobre a Chave PGP de Segurança do Produto Apple, consulte Como usar a Chave PGP de Segurança do Produto Apple.

Sempre que possível, serão usados IDs de CVE para indicar vulnerabilidades e permitir que o usuário obtenha mais informações.

Para saber mais sobre outras atualizações de segurança, consulte Atualizações de segurança da Apple.

watchOS 2.2

  • Imagens de Disco

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: havia um problema de memória corrompida na análise de imagens de disco. Esse problema foi resolvido por meio de melhorias no gerenciamento da memória.

    ID de CVE

    CVE-2016-1717: Frank Graziano da Yahoo! Equipe Pentest

  • FontParser

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: abrir um arquivo PDF criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1740: HappilyCoded (ant4g0nist and r3dsm0k3) em parceria com a Zero Day Initiative da Trend Micro (ZDI)

  • HTTPProtocol

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um invasor externo pode executar um código arbitrário

    Descrição: havia diversas vulnerabilidades em versões do nghttp2 anteriores à 1.6.0. A mais séria delas pode ter levado à execução remota de códigos. Elas foram solucionadas com a atualização do nghttp2 para a versão 1.6.0.

    ID de CVE

    CVE-2015-8659

  • IOHIDFamily

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: diversos problemas de memória corrompida foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1719: Ian Beer do Google Project Zero

  • IOHIDFamily

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode identificar o layout de memória do kernel

    Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1748: Brandon Azad

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: diversos problemas de memória corrompida foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1720: Ian Beer do Google Project Zero

    CVE-2016-1721: Ian Beer do Google Project Zero E Ju Zhu da Trend Micro

    CVE-2016-1754: Lufeng Li da Qihoo 360 Vulcan Team

    CVE-2016-1755: Ian Beer do Google Project Zero

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: um problema do tipo "uso após livre" foi resolvido por meio de melhorias no gerenciamento de memória.

    ID de CVE

    CVE-2016-1750: CESG

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: várias estouros de inteiros foram resolvidos por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1753: Juwei Lin Trend Micro em parceria com a Zero Day Initiative (ZDI) da Trend Micro

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode contornar a assinatura de códigos

    Descrição: existia um problema de permissão em que a permissão de execução era concedida incorretamente. Esse problema foi solucionado por meio de melhorias na validação de permissões.

    ID de CVE

    CVE-2016-1751: Eric Monti da Square Mobile Security

  • Kernel

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode causar uma negação de serviço

    Descrição: um problema de negação de serviço foi solucionado por meio de melhorias na validação.

    ID de CVE

    CVE-2016-1752: CESG

  • libxml2

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: diversos problemas de memória corrompida foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-1819

    CVE-2015-5312: David Drysdale do Google

    CVE-2015-7499

    CVE-2015-7500: Kostya Serebryany do Google

    CVE-2015-7942: Kostya Serebryany do Google

    CVE-2015-8035: gustavo.grieco

    CVE-2015-8242: Hugh Davenport

    CVE-2016-1761: wol0xff em parceria com a Zero Day Initiative (ZDI) da Trend Micro

    CVE-2016-1762

  • libxslt

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: o processamento de um arquivo XML criado com códigos maliciosos pode causar o encerramento inesperado de aplicativos ou a execução arbitrária de códigos

    Descrição: um problema de confusão de tipos foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2015-7995: puzzor

  • Mensagens

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um invasor que pode driblar a fixação de certificados da Apple, interceptar conexões TLS, injetar mensagens e gravar mensagens de tipo de anexo criptografadas pode ler anexos

    Descrição: um problema de criptografia foi resolvido pela rejeição de mensagens duplicadas no cliente.

    ID de CVE

    CVE-2016-1788 : Christina Garman, Matthew Green, Gabriel Kaptchuk, Ian Miers e Michael Rushanan da Johns Hopkins University

  • Segurança

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: o processamento de um certificado criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no decodificador ASN.1. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1950: Francis Gabriel da Quarkslab

  • syslog

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um aplicativo pode executar códigos arbitrários com privilégios de kernel

    Descrição: um problema de memória corrompida foi resolvido por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1722: Joshua J. Drake e Nikias Bassen da Zimperium zLabs

  • TrueTypeScaler

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: o processamento de um arquivo de fontes criado com códigos maliciosos pode causar a execução arbitrária de códigos

    Descrição: havia um problema de memória corrompida no processamento de arquivos de fontes. Esse problema foi solucionado por meio de melhorias na validação de entradas.

    ID de CVE

    CVE-2016-1775: 0x1byte em parceria com a Zero Day Initiative (ZDI) da Trend Micro

  • WebKit

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: o processamento de conteúdo da web criado com códigos maliciosos pode resultar na execução arbitrária de códigos

    Descrição: diversos problemas de memória corrompida foram resolvidos por meio de melhorias no processamento de memória.

    ID de CVE

    CVE-2016-1723: Apple

    CVE-2016-1724: Apple

    CVE-2016-1725: Apple

    CVE-2016-1726: Apple

    CVE-2016-1727: Apple

  • Wi-Fi

    Disponível para: Apple Watch Sport, Apple Watch, Apple Watch Edition e Apple Watch Hermès

    Impacto: um invasor com uma posição de rede privilegiada pode executar códigos arbitrários

    Descrição: um problema de memória corrompida e validação de quadros existia para um determinado EtherType. Esse problema foi resolvido por meio de validação adicional de EtherType e melhorias de gerenciamento de memória.

    ID de CVE

    CVE-2016-0801: um pesquisador anônimo

    CVE-2016-0802: um pesquisador anônimo

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: