Acerca del contenido de seguridad de watchOS 11.4

En este documento se describe el contenido de seguridad de watchOS 11.4.

Acerca de las actualizaciones de seguridad de Apple

Con el fin de proteger a nuestros clientes, Apple no revelará, comunicará ni confirmará problemas de seguridad hasta que se haya llevado a cabo una investigación y estén disponibles las revisiones o las versiones necesarias. Encontrarás una lista de las últimas versiones en la página Versiones de seguridad de Apple.

Cuando es posible, los documentos de seguridad de Apple hacen referencia a los puntos vulnerables mediante CVE-ID.

Para obtener más información sobre seguridad, consulta la página Seguridad de los productos Apple.

watchOS 11.4

AirDrop

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría leer metadatos de archivos arbitrarios

Descripción: se ha solucionado un problema de permisos con restricciones adicionales.

CVE-2025-24097: Ron Masas de BREAKPOINT.SH

AirPlay

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante en la red local podría causar el cierre inesperado de una app

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24251: Uri Katz (Oligo Security)

Audio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría ser capaz de omitir ASLR.

Descripción: se ha solucionado un problema de acceso fuera de los límites al mejorar la comprobación de los límites.

CVE-2025-43205: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24244: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Audio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar un archivo creado con fines malintencionados podría provocar la ejecución de código arbitrario.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24243: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

Authentication Services

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el autocompletado de contraseñas puede rellenar las contraseñas después de un error de autenticación.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30430: Dominik Rath

Authentication Services

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un sitio web creado con fines malintencionados podría reclamar credenciales de WebAuthn de otro sitio web que comparta un sufijo registrable.

Descripción: se ha solucionado el problema mejorando la validación de las entradas.

CVE-2025-24180: Martin Kreichgauer de Google Chrome

BiometricKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app puede provocar una terminación inesperada del sistema

Descripción: se ha solucionado un desbordamiento de búfer mejorando la comprobación de límites.

CVE-2025-24237: Yutong Xiu (@Sou1gh0st)

Calendar

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2025-30429: Denis Tokarev (@illusionofcha0s)

Calendar

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado mejorando las comprobaciones.

CVE-2025-24212: Denis Tokarev (@illusionofcha0s)

CoreAudio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-24163: Grupo de análisis de amenazas de Google

CoreAudio

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: reproducir un archivo de audio con fines malintencionados podría provocar una interrupción inesperada de la app

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2025-24230: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreGraphics

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de un archivo creado con fines malintencionados podría generar una denegación de servicio o una posible revelación del contenido de la memoria

Descripción: se ha solucionado una lectura fuera de los límites mejorando la validación de las entradas.

CVE-2025-31196: wac en colaboración con Trend Micro Zero Day Initiative

CoreMedia

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar un archivo de vídeo creado con fines malintencionados podría provocar el cierre inesperado de la app o corrupción en la memoria de procesos

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24190: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreMedia Playback

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app creada con fines malintencionados podría tener acceso a información privada

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la validación.

CVE-2025-30454: pattern-f (@pattern_F_)

CoreServices

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-31191: Jonathan Bar Or (@yo_yo_yo_jbo) de Microsoft y un investigador anónimo

CoreText

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: procesar un sitio web creado con fines malintencionados podría provocar la revelación de la memoria de procesos.

Descripción: se ha solucionado un problema de lectura fuera de los límites al mejorar la validación de las entradas.

CVE-2025-24182: Hossein Lotfi (@hosselot) de Trend Micro Zero Day Initiative

CoreUtils

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante en la red local puede causar una denegación de servicio

Descripción: se ha solucionado un desbordamiento de enteros mediante la mejora de la validación de las entradas.

CVE-2025-31203: Uri Katz (Oligo Security)

curl

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: se ha resuelto un problema de validación de entradas

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-9681

Focus

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un atacante con acceso físico a un dispositivo bloqueado podría ver información confidencial de los usuarios.

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-30439: Andr.Ess

Focus

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de registro con una redacción de datos mejorada.

CVE-2025-24283: Kirin (@Pwnrin)

Foundation

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se ha solucionado saneando los registros

CVE-2025-30447: LFY@secsys de Fudan University

ImageIO

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: analizar una imagen podría provocar la revelación de información del usuario

Descripción: se ha solucionado un error de lógica con la mejora de la gestión de errores.

CVE-2025-24210: anónimo, en colaboración con Trend Micro Zero Day Initiative

IOGPUFamily

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría provocar el cierre inesperado del sistema o la escritura de la memoria del kernel.

Descripción: se ha solucionado un problema de escritura fuera de los límites mejorando la validación de las entradas.

CVE-2025-24257: Wang Yu de Cyberserval

Kernel

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app creada con fines malintencionados podría intentar acceder a códigos en un dispositivo bloqueado y provocar retrasos incrementales tras 4 intentos erróneos

Descripción: se ha solucionado un problema de lógica con la mejora de la gestión del estado.

CVE-2025-30432: Michael (Biscuit) Thomas - @biscuit@social.lol

libarchive

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: se ha resuelto un problema de validación de entradas

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2024-48958

libnetcore

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados podría provocar la revelación de la memoria de procesos

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-24194: un investigador anónimo

libxml2

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el análisis de un archivo podría provocar el cierre inesperado de la app.

Descripción: se trata de una vulnerabilidad en el código fuente abierto y el Software Apple se encuentra entre los proyectos afectados. El CVE-ID fue asignado por un tercero. Obtén más información sobre el problema y el CVE-ID en cve.org.

CVE-2025-27113

CVE-2024-56171

libxpc

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-24178: un investigador anónimo

libxpc

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría eliminar archivos para los que no tiene permiso.

Descripción: se ha solucionado el problema mejorando la gestión de los enlaces simbólicos.

CVE-2025-31182: Alex Radocea y Dave G. de Supernetworks, 风沐云烟(@binary_fmyy) y Minghao Lin(@Y1nKoc)

libxpc

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría obtener privilegios de alto nivel.

Descripción: se ha solucionado un problema de lógica mejorando las comprobaciones.

CVE-2025-24238: un investigador anónimo

Maps

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: es posible que una app pueda leer información de ubicación confidencial.

Descripción: se ha solucionado un problema de gestión de las rutas mejorando la lógica.

CVE-2025-30470: LFY@secsys de Fudan University

NetworkExtension

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app puede ser capaz de enumerar las apps instaladas de un usuario.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-30426: Jimmy

Power Services

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría salir de su zona protegida.

Descripción: este problema se ha solucionado con comprobaciones de derechos adicionales.

CVE-2025-24173: Mickey Jin (@patch1t)

Safari

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la interfaz del usuario

Descripción: se ha solucionado el problema mediante la mejora de la interfaz de usuario.

CVE-2025-24113: @RenwaX23

Safari

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: visitar un sitio web creado con fines malintencionados podría provocar la suplantación de la barra de direcciones

Descripción: el problema se ha solucionado mediante comprobaciones mejoradas.

CVE-2025-30467: @RenwaX23

Safari

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el origen de una descarga podría no asociarse correctamente

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-24167: Syarif Muhammad Sajjad

Security

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un usuario remoto puede causar una denegación de servicio

Descripción: se ha solucionado un problema de validación mejorando la lógica.

CVE-2025-30471: Bing Shi, Wenchao Li, Xiaolong Bai de Alibaba Group, Luyi Xing de Indiana University Bloomington

Share Sheet

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app creada con fines malintencionados podría descartar la notificación del sistema en la pantalla de bloqueo al iniciarse una grabación.

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-30438: Halle Winkler, Politepix theoffcuts.org

Shortcuts

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una función rápida podría acceder a archivos que normalmente no son accesibles a través de la app Atajos

Descripción: se ha solucionado el problema mediante la mejora de las restricciones de acceso.

CVE-2025-30433: Andrew James Gonzalez

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: el problema se solucionó con una restricción mejorada del acceso al contenedor de datos.

CVE-2025-31183: Kirin (@Pwnrin), Bohdan Stasiuk (@bohdan_stasiuk)

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: este problema se ha solucionado mejorando la ocultación de la información confidencial.

CVE-2025-24217: Kirin (@Pwnrin)

Siri

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: una app podría acceder a la información confidencial del usuario.

Descripción: se ha solucionado un problema de privacidad evitando el registro de contenido de los campos de texto.

CVE-2025-24214: Kirin (@Pwnrin)

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: contenido web creado de manera maliciosa podría salir de su sandbox. Se trata de una solución complementaria para un ataque que se bloqueó en iOS 17.2. (Apple tiene conocimiento de que este problema puede haberse explotado en un ataque extremadamente sofisticado contra personas concretas en versiones de iOS anteriores a iOS 17.2).

Descripción: este problema se ha solucionado con la mejora de las comprobaciones para evitar acciones no autorizadas.

CVE-2025-24201: Apple

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado el problema mediante la mejora de la gestión de la memoria.

CVE-2025-24264: Gary Kwong y un investigador anónimo

CVE-2025-24216: Paul Bakker de ParagonERP

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado del proceso

Descripción: se ha solucionado un problema de desbordamiento de búfer mejorando la gestión de la memoria.

CVE-2025-24209: Francisco Alonso (@revskills) y un investigador anónimo

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: el procesamiento de contenido web creado con fines malintencionados puede provocar un fallo inesperado en Safari.

Descripción: se ha solucionado un problema de uso posterior a la liberación mediante la mejora de la gestión de la memoria.

CVE-2025-30427: rheza (@ginggilBesel)

WebKit

Disponible para: Apple Watch Series 6 y modelos posteriores

Impacto: un sitio web malintencionado podía rastrear a los usuarios dentro del modo de navegación privada de Safari

Descripción: para resolver este problema se ha mejorado la gestión del estado.

CVE-2025-30425: an anonymous researcher

Otros agradecimientos

Accounts

Queremos dar las gracias a Bohdan Stasiuk (@bohdan_stasiuk) por su ayuda.

Apple Account

Queremos dar las gracias a Byron Fecho por su ayuda.

Find My

Queremos dar las gracias a 神罚(@Pwnrin) por su ayuda.

Foundation

Queremos dar las gracias por su ayuda a Jann Horn de Google Project Zero.

Handoff

Queremos dar las gracias a Kirin y FlowerCode por su ayuda.

HearingCore

Queremos dar las gracias a Kirin@Pwnrin y LFY@secsys de Fudan University por su ayuda.

ImageIO

Queremos dar las gracias a D4m0n por su ayuda.

Mail

Queremos dar las gracias a Doria Tang, Ka Lok Wu, Prof. Sze Yiu Chau de The Chinese University of Hong Kong, K宝 y LFY@secsys de Fudan University por su ayuda.

Messages

Queremos dar las gracias a parkminchan de Korea Univ. .

Photos

Queremos dar las gracias por su ayuda a Bistrit Dahal.

Sandbox Profiles

Queremos dar las gracias a Benjamin Hornbeck por su ayuda.

SceneKit

Queremos dar las gracias a Marc Schoenefeld, Dr. rer. nat. .

Screen Time

Queremos dar las gracias por su ayuda a Abhay Kailasia (@abhay_kailasia) de la universidad técnica de Lakshmi Narain en Bhopal, India.

Security

Queremos dar las gracias a Kevin Jones (GitHub) por su ayuda.

Settings

Queremos dar las gracias a Abhay Kailasia (@abhay_kailasia) de C-DAC Thiruvananthapuram India por su ayuda.

Shortcuts

Queremos dar las gracias a Chi Yuan Chang de ZUSO ART, taikosoup y un investigador anónimo por su ayuda.

Siri

Queremos dar las gracias a Lyutoon por su ayuda.

Translations

Queremos dar las gracias a K宝(@Pwnrin) por su ayuda.

WebKit

Queremos dar las gracias a Gary Kwong, P1umer (@p1umer) y Q1IQ (@q1iqF), Wai Kin Wong, Dongwei Xiao, Shuai Wang y Daoyuan Wu de HKUST Cybersecurity Lab, Anthony Lai(@darkfloyd1014) de VXRL, Wong Wai Kin, Dongwei Xiao y Shuai Wang de HKUST Cybersecurity Lab, Anthony Lai (@darkfloyd1014) de VXRL., Xiangwei Zhang de Tencent Security YUNDING LAB, 냥냥 y a un investigador anónimo por su ayuda.